Administration
Transcription
Administration
Guide d'administration BES12 Cloud Publié : 2016-08-30 SWD-20160830124211117 Table des matières À propos de ce guide...................................................................................................... 13 Mise en route................................................................................................................. 14 Étapes à suivre pour administrer BES12.......................................................................................................................... 14 Exemples de scénarios d'administration quotidiens..................................................................................................14 À propos de PRIV et de BES12 ....................................................................................................................................... 16 Étapes à suivre pour déployer PRIV dans votre environnement BES12 ..................................................................... 16 Options de gestion de terminaux..................................................................................................................................... 17 Contrôles MDM........................................................................................................................................................17 Travail et personnel..................................................................................................................................................18 Espace Travail uniquement...................................................................................................................................... 18 Configuration de Secure Work Space pour les terminaux iOS et Android ..........................................................................18 Connectivité d'entreprise et serveurs proxy.............................................................................................................. 19 Gestion des terminaux dotés d'un Work Space......................................................................................................... 19 Mise à niveau des applications du Work Space......................................................................................................... 20 Tester la connexion à Secure Work Space ................................................................................................................ 20 Se connecter à BES12 ................................................................................................................................................... 21 À propos de BES12 Self-Service ..................................................................................................................................... 21 Fonctionnalités prises en charge par type de terminal..................................................... 22 Administrateurs..............................................................................................................29 Étapes à suivre pour configurer des administrateurs........................................................................................................ 29 Personnalisation de l'apparence des consoles.................................................................................................................30 Création de signets de site Web dans les consoles........................................................................................................... 30 Modifier la langue pour les e-mails automatisés...............................................................................................................31 Création et gestion des rôles........................................................................................................................................... 31 Rôles préconfigurés................................................................................................................................................. 31 Créer un rôle personnalisé....................................................................................................................................... 41 Afficher un rôle........................................................................................................................................................ 42 Modifier les paramètres de rôle................................................................................................................................ 42 Supprimer un rôle....................................................................................................................................................43 Comment BES12 choisit le rôle à attribuer............................................................................................................... 44 Créer un administrateur.................................................................................................................................................. 45 Modifier l'appartenance de rôle pour les administrateurs.................................................................................................46 Supprimer un administrateur.......................................................................................................................................... 47 Profils.............................................................................................................................48 Attribution de profils....................................................................................................................................................... 48 Comment BES12 choisit les profils à attribuer................................................................................................................. 50 Gestion des profils ..........................................................................................................................................................51 Copier un profil........................................................................................................................................................ 51 Afficher un profil...................................................................................................................................................... 51 Modifier les paramètres de profil..............................................................................................................................52 Supprimer un profil de comptes d'utilisateur ou de groupes d'utilisateurs................................................................. 52 Supprimer un profil ................................................................................................................................................. 53 Classer les profils.....................................................................................................................................................53 Variables........................................................................................................................ 55 Utilisation de variables dans les profils............................................................................................................................ 55 Variables par défaut........................................................................................................................................................ 55 Variables personnalisées.................................................................................................................................................58 Définir des variables personnalisées.........................................................................................................................58 Utilisation de variables personnalisées..................................................................................................................... 59 Certificats.......................................................................................................................60 Étapes de l'utilisation des certificats avec des terminaux................................................................................................. 60 Intégration de BES12 avec le logiciel PKI de votre organisation........................................................................................ 61 Connectez BES12 au logiciel Entrust de votre organisation....................................................................................... 61 Connectez BES12 au logiciel OpenTrust de votre organisation.................................................................................. 62 Envoi de certificats aux terminaux à l'aide de profils........................................................................................................ 63 Choix des profils pour envoyer des certificats client aux terminaux............................................................................63 Envoi de certificats CA à des terminaux.................................................................................................................... 64 Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux...................................................... 66 Utilisation de profils d'informations d'identification de l'utilisateur pour envoyer des certificats aux terminaux.......... 67 Envoi du même certificat client à plusieurs terminaux.............................................................................................. 69 E-mail, Wi-Fi, VPN et autres connexions professionnelles................................................ 71 Étapes à suivre pour configurer les connexions professionnelles des terminaux................................................................71 Gestion des connexions professionnelles à l'aide des profils............................................................................................ 71 Meilleure pratique : création de profils de connexions professionnelles............................................................................ 73 Configuration d'une messagerie professionnelle pour les terminaux.................................................................................73 Créer un profil de messagerie...................................................................................................................................74 Créer un profil de messagerie IMAP/POP3................................................................................................................75 Extension de la sécurité de la messagerie à l'aide de S/MIME................................................................................... 76 Extension de la sécurité de la messagerie avec PGP ................................................................................................ 82 Application des e-mails sécurisés à l'aide de la classification de messages............................................................... 83 Création de profils proxy pour les terminaux.................................................................................................................... 84 Créer un profil proxy................................................................................................................................................ 85 Configuration de réseaux Wi-Fi professionnels pour les terminaux....................................................................................87 Créer un profil Wi-Fi ................................................................................................................................................ 88 Configuration de réseaux VPN professionnels pour les terminaux.....................................................................................89 Créer un profil VPN.................................................................................................................................................. 90 Activation d'un VPN à la demande pour les terminaux iOS ou OS X .......................................................................... 91 Activation d'un VPN par application......................................................................................................................... 91 Configuration de la connectivité d'entreprise pour les terminaux......................................................................................92 Configuration de l'authentification avec identification unique pour les terminaux............................................................. 92 Conditions préalables : utilisation de l'authentification Kerberos pour les terminaux..................................................93 Authentification basée sur des certificats pour iOS 8 ou version ultérieure................................................................ 93 Créer un profil d'identification unique...................................................................................................................... 94 Configuration des profilsCardDAVetCalDAVpour les terminauxiOS etOS X devices............................................................ 96 Créer un profil CardDAV .......................................................................................................................................... 96 Créer un profil CalDAV .............................................................................................................................................96 Configuration de la fonction Enterprise Data Protection pour les terminaux Windows 10...................................................97 Créer un profil Enterprise Data Protection................................................................................................................ 98 Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles............. 99 Étapes à suivre pour activer BlackBerry Secure Connect Plus ................................................................................ 100 Exigences liées au serveur et au terminal............................................................................................................... 100 Activation et configuration de BlackBerry Secure Connect Plus ............................................................................. 102 Résolution des problèmesBlackBerry Secure Connect Plus ................................................................................... 107 Normes relatives aux terminaux.................................................................................... 110 Étapes à suivre pour configurer les normes de votre organisation pour les terminaux......................................................110 Gestion des normes relatives aux terminaux à l'aide de profils....................................................................................... 110 Application des règles de conformité aux terminaux...................................................................................................... 111 Créer un profil de conformité................................................................................................................................. 112 Création d'un modèle pour les notifications d'e-mail de conformité........................................................................ 115 Filtrage de contenu Web sur les terminaux iOS ............................................................................................................. 116 Créer un profil de filtre de contenu Web................................................................................................................. 117 Limiter les terminaux à une application......................................................................................................................... 118 Créer un profil du mode de verrouillage.................................................................................................................. 118 Contrôle des versions du logiciel que les utilisateurs peuvent installer sur les terminaux BlackBerry 10 ..........................119 Créer un profil de la configuration logicielle minimale requise du terminal...............................................................120 Afficher les utilisateurs exécutant une version annulée du logiciel...........................................................................121 Gestion des domaines de messagerie et des domaines Web pour les terminaux iOS 8.................................................... 121 Créer un profil de domaines gérés..........................................................................................................................122 Configuration des domaines autorisés et limités sur les terminaux avec espace Travail................................................... 123 Configurer les domaines autorisés et limités dans l'espace Travail.......................................................................... 123 Création d'avis d'entreprise à afficher sur les terminaux ................................................................................................124 Créer des avis d'entreprise.....................................................................................................................................124 Affichage des informations d'entreprise sur les terminaux .............................................................................................125 Créer un profil de terminal..................................................................................................................................... 125 Création d'icônes Web pour les terminauxiOS et les terminauxOS X ..............................................................................127 Ajouter un profil d'icône Web................................................................................................................................. 127 Utilisation des services de localisation sur les terminaux................................................................................................128 Configurer les paramètres du service de localisation.............................................................................................. 128 Créer un profil de service de localisation................................................................................................................ 129 Gestion des fonctionnalités iOS à l'aide des profils de charge utile personnalisée........................................................... 130 Création d'un profil de charge utile personnalisée.................................................................................................. 130 Créer un profil AirPrint ..................................................................................................................................................132 Configuration de profils AirPlay pour les terminaux iOS ................................................................................................. 133 Créer un profil AirPlay ........................................................................................................................................... 133 Contrôle de l'utilisation du réseau pour les applications professionnelles sur les terminaux iOS ......................................134 Créer un profil d'utilisation du réseau..................................................................................................................... 134 Stratégies informatiques...............................................................................................136 Étapes à suivre pour gérer des stratégies informatiques.................................................................................................136 Limiter ou autoriser les fonctionnalités du terminal........................................................................................................ 137 Configuration des exigences de mot de passe du terminal............................................................................................. 137 Configuration des exigences de mot de passe pour BlackBerry 10 ......................................................................... 137 Configuration des exigences de mot de passe pour iOS ..........................................................................................139 Configuration des exigences de mot de passe pour Android ...................................................................................143 Configuration des exigences de mot de passe pour Windows ................................................................................. 151 Comment BES12 choisit la stratégie informatique à attribuer.........................................................................................153 Création et gestion des stratégies informatiques............................................................................................................ 154 Créer une stratégie informatique............................................................................................................................154 Copier une stratégie informatique.......................................................................................................................... 154 Classer les stratégies informatiques....................................................................................................................... 155 Afficher une stratégie informatique........................................................................................................................ 155 Modifier une stratégie informatique....................................................................................................................... 156 Supprimer une stratégie informatique de comptes d'utilisateur ou groupes d'utilisateurs........................................156 Supprimer une stratégie informatique.................................................................................................................... 157 Exporter des stratégies informatiques.................................................................................................................... 157 Applications................................................................................................................. 159 Ajout et suppression d'applications à partir de la liste des applications.......................................................................... 159 Ajout d'applications publiques à la liste des applications........................................................................................ 159 Ajout d'applications internes à la liste des applications...........................................................................................166 Supprimer une application de la liste des applications............................................................................................168 Comportement de l'application sur les terminaux Android ..................................................................................... 169 Comportement de l'application sur les terminaux iOS ............................................................................................ 175 Comportement de l'application sur les terminaux BlackBerry ................................................................................ 178 Comportement de l'application sur les terminaux Windows 10 ...............................................................................179 Empêcher les utilisateurs d'installer des applications iOS, Android et Windows Phone spécifiques................................. 180 Étapes à suivre pour empêcher les utilisateurs d'installer des applications..............................................................181 Ajouter une application à la liste des applications limitées...................................................................................... 181 Gestion des groupes d'applications............................................................................................................................... 182 Créer un groupe d'applications.............................................................................................................................. 183 Modifier un groupe d'applications..........................................................................................................................184 Gestion des comptes VPP Apple ...................................................................................................................................184 Ajouter un compte VPP Apple ............................................................................................................................... 184 Modifier un compte VPP Apple ..............................................................................................................................185 Mettre à jour les informations de compte VPP Apple .............................................................................................. 185 Supprimer un compte VPP Apple .......................................................................................................................... 186 Attribution de licences VPP Apple aux terminaux...........................................................................................................186 Afficher une attribution de licence VPP Apple.........................................................................................................187 Spécifier si une application est requise ou facultative.................................................................................................... 187 Afficher l'état des applications et des groupes d'applications attribués à des comptes d'utilisateur................................ 188 Afficher les applications attribuées à des groupes d'utilisateurs..................................................................................... 188 Mettre à jour les informations dans la liste des applications........................................................................................... 189 Mettre à jour les autorisations des applications Android for Work ...................................................................................189 Accepter les autorisations d'applications pour les applications Android for Work ........................................................... 190 Définir le nom d'entreprise pour BlackBerry World ........................................................................................................191 Personnalisation de l'icône Applications professionnelles pour les terminaux iOS .......................................................... 191 Personnaliser l'icône Applications professionnelles................................................................................................ 192 Utilisateurs et groupes..................................................................................................193 Procédure de création de groupes et comptes d'utilisateur............................................................................................193 Création de rôles d'utilisateur........................................................................................................................................193 Fonctionnalités de BES12 Self-Service...................................................................................................................194 Création d'un rôle d'utilisateur............................................................................................................................... 195 Comment BES12 choisit-il l'attribution du rôle d'utilisateur ?.................................................................................. 195 Classement des rôles d'utilisateur..........................................................................................................................195 Attribuer un rôle d'utilisateur à un groupe.............................................................................................................. 195 Attribuer un rôle d'utilisateur à un utilisateur.......................................................................................................... 196 Création et gestion de groupes d'utilisateurs................................................................................................................. 196 Création d'un groupe lié par annuaire.................................................................................................................... 197 Créer un groupe local.............................................................................................................................................199 Afficher un groupe d'utilisateurs............................................................................................................................ 200 Modifier le nom d'un groupe d'utilisateurs............................................................................................................. 200 Supprimer un groupe d'utilisateurs........................................................................................................................ 200 Ajouter un groupe d'annuaires d'entreprise à un groupe lié par annuaire existant................................................... 201 Ajouter des groupes imbriqués à un groupe d'utilisateurs....................................................................................... 201 Supprimer les groupes imbriqués d'un groupe d'utilisateurs...................................................................................201 Attribuer une stratégie informatique à un groupe d'utilisateurs............................................................................... 202 Attribuer un profil à un groupe d'utilisateurs...........................................................................................................202 Attribuer une application à un groupe d'utilisateurs................................................................................................203 Attribuer un groupe d'applications à un groupe d'utilisateurs................................................................................. 205 Création de groupes de terminaux.................................................................................................................................206 Créer un groupe de terminaux................................................................................................................................207 Modifier un groupe de terminaux ...........................................................................................................................208 Définition des paramètres des groupes de terminaux............................................................................................. 209 Afficher un groupe de terminaux............................................................................................................................ 210 Modifier le nom d'un groupe de terminaux............................................................................................................. 210 Supprimer un groupe de terminaux........................................................................................................................211 Création et gestion de comptes d'utilisateur.................................................................................................................. 211 Créer un compte d'utilisateur.................................................................................................................................211 Création de comptes d'utilisateur à partir d'un fichier .csv...................................................................................... 214 Afficher un compte d'utilisateur............................................................................................................................. 217 Gestion simultanée de plusieurs comptes utilisateur.............................................................................................. 217 Envoyer un e-mail aux utilisateurs.......................................................................................................................... 218 Modifier les informations de compte d'utilisateur................................................................................................... 219 Synchroniser des informations pour un utilisateur d'annuaire................................................................................. 219 Supprimer un compte d'utilisateur.........................................................................................................................220 Ajouter des utilisateurs à des groupes d'utilisateurs................................................................................................220 Modifier les groupes auxquels appartient un utilisateur.......................................................................................... 220 Supprimer un utilisateur d'un groupe d'utilisateurs................................................................................................ 221 Attribuer une stratégie informatique à un compte d'utilisateur................................................................................221 Attribuer un profil à un compte d'utilisateur........................................................................................................... 222 Ajouter un certificat client à un compte d'utilisateur............................................................................................... 222 Modifier un certificat client pour un compte d'utilisateur........................................................................................ 223 Attribuer une application à un compte d'utilisateur................................................................................................ 223 Attribuer un groupe d'applications à un compte d'utilisateur.................................................................................. 225 Affichage et personnalisation de la liste d'utilisateurs.................................................................................................... 227 Configuration de la vue par défaut ou avancée....................................................................................................... 227 Sélection des informations à afficher dans la liste des utilisateurs........................................................................... 228 Filtrage de la liste d'utilisateurs.............................................................................................................................. 228 Exportation d'une liste d'utilisateurs vers un fichier .csv .........................................................................................229 Activation des terminaux.............................................................................................. 230 Étapes à suivre pour activer des terminaux.................................................................................................................... 230 Exigences : Activation................................................................................................................................................... 231 Gérer l'expiration et la longueur du mot de passe d'activation par défaut....................................................................... 231 Activer l'inscription de l'utilisateur auprès de BlackBerry Infrastructure ........................................................................ 232 Prise en charge des activations Android for Work .......................................................................................................... 233 Prendre en charge les activations Android for Work avec un domaine Google Apps for Work ................................... 233 Prendre en charge les activations Android for Work avec un domaine Google for Work ............................................234 Sélectionnez les applications de productivité utilisées sur les terminaux PRIV utilisant Android for Work .................235 Activation d’un BlackBerry Hub unifié sur des terminaux PRIV qui utilisent Android for Work.................................. 236 Prise en charge des activations Windows 10 ................................................................................................................. 237 Gestion des modèles d'e-mail d'activation.....................................................................................................................237 Créer un modèle d'e-mail d'activation....................................................................................................................239 Créer un modèle d'e-mail d'activation Windows 10 ................................................................................................239 Créer un modèle d'e-mail d'activation Android for Work......................................................................................... 241 Modifier un modèle d'e-mail d'activation................................................................................................................242 Création de profils d'activation...................................................................................................................................... 242 Types d'activation : terminaux BlackBerry 10 ........................................................................................................ 243 Types d'activation : terminaux iOS .........................................................................................................................244 Types d'activation : terminaux OS X .......................................................................................................................245 Types d'activation : terminaux Android .................................................................................................................. 245 Types d'activation : terminaux Windows ................................................................................................................ 249 Créer un profil d'activation.....................................................................................................................................249 Définir un mot de passe d'activation et envoyer un e-mail d'activation........................................................................... 251 Envoyer un e-mail d'activation à plusieurs utilisateurs................................................................................................... 252 Autoriser les utilisateurs à définir des mots de passe d'activation BES12 Self-Service.................................................... 253 Activer un terminal BlackBerry 10 ................................................................................................................................ 253 Activer un terminal iOS .................................................................................................................................................254 Activer un terminal OS X ...............................................................................................................................................255 Activer un terminal Android ..........................................................................................................................................255 Activer un terminal Windows Phone ..............................................................................................................................256 Activer un terminal Windows 10 Mobile ........................................................................................................................ 257 Activer un terminal Windows 10 ................................................................................................................................... 258 Activation de plusieurs terminaux à l'aide de KNOX Mobile Enrollment.......................................................................... 259 Conseils pour résoudre les problèmes relatifs à l'activation des terminaux..................................................................... 260 Impossible de terminer l'activation du terminal en l'absence de licences suffisantes sur le serveur. Pour obtenir de l'aide, contactez votre administrateur................................................................................................................261 Vérifiez votre nom d'utilisateur et votre mot de passe, puis réessayez..................................................................... 262 Impossible d'installer le profil. Le certificat AutoMDMCert.pfx n'a pas pu être importé............................................ 262 Erreur 3007 : le serveur n'est pas disponible.......................................................................................................... 263 Impossible de contacter le serveur. Vérifiez la connectivité ou l'adresse du serveur.................................................263 Les activations des terminaux iOS ou OS X échouent en présence d'un certificat APNs non valide...........................264 Les utilisateurs ne reçoivent pas d'e-mail d'activation............................................................................................ 264 Activation de terminaux iOS inscrits dans DEP...............................................................................................................264 Conditions préalables : utilisation de l'application Good for BES12 avec les terminaux inscrits dans DEP.................265 Étapes à suivre pour activer les terminaux inscrits dans DEP.................................................................................. 265 Enregistrer les terminaux iOS dans DEP et les attribuer à un serveur MDM..............................................................265 Attribuez une configuration d'inscription aux terminaux iOS .................................................................................. 266 Supprimer une configuration d'inscription attribuée aux terminaux iOS ................................................................. 266 Gestion des configurations d'inscription.................................................................................................................267 Afficher les paramètres d'une configuration d'inscription attribuée à un terminal....................................................268 Afficher les détails de l'utilisateur pour un terminal activé.......................................................................................268 Utilisation du verrouillage d'activation sur les terminaux iOS.......................................................................................... 269 Activation du verrouillage d'activation.................................................................................................................... 269 Désactivation du verrouillage d'activation.............................................................................................................. 269 Affichage du code de contournement du verrouillage d'activation.......................................................................... 270 Commandes et contrôles de terminal............................................................................271 Utilisation des rapports du tableau de bord................................................................................................................... 271 Modifier le type de graphique.................................................................................................................................272 Exporter un rapport du tableau de bord au format .csv............................................................................................272 Envoi de commandes aux terminaux............................................................................................................................. 272 Envoyer une commande à un terminal................................................................................................................... 273 Définir une heure d'expiration pour les commandes............................................................................................... 273 Commandes..........................................................................................................................................................273 Afficher et enregistrer un rapport de terminal................................................................................................................ 282 Vérification qu'un terminal est autorisé à accéder à la messagerie professionnelle et aux données de l'organiseur..........282 Vérifier qu'un terminal est autorisé.........................................................................................................................283 Utilisation d'Exchange Gatekeeping.............................................................................................................................. 283 Autoriser un terminal à accéder à Microsoft ActiveSync .........................................................................................283 Bloquer l'accès d'un terminal à Microsoft ActiveSync ............................................................................................ 284 Désactivation des terminaux......................................................................................................................................... 284 Localiser un terminal ....................................................................................................................................................285 Supprimer Secure Work Space des terminaux............................................................................................................... 285 Paramètres de profil .................................................................................................... 287 Paramètres de profil de messagerie.............................................................................................................................. 287 Communs : paramètres de profil de messagerie..................................................................................................... 287 BlackBerry 10 : paramètres de profil de messagerie............................................................................................... 288 iOS : paramètres de profil de messagerie............................................................................................................... 299 OS X : paramètres de profil de messagerie..............................................................................................................303 Android : paramètres de profil de messagerie.........................................................................................................304 Windows : paramètres de profil de messagerie....................................................................................................... 310 Paramètres de profil de messagerie IMAP/POP3............................................................................................................312 Communs : paramètres de profil de messagerie IMAP/POP3.................................................................................. 312 iOSetOS X : paramètres de profil de messagerie IMAP/POP3.................................................................................. 314 Android : paramètres de profil de messagerie IMAP/POP3......................................................................................317 Windows : paramètres de profil de messagerie IMAP/POP3.................................................................................... 317 Paramètres du profil SCEP............................................................................................................................................ 318 Communs : paramètres de profil SCEP................................................................................................................... 319 BlackBerry 10 : paramètres de profil SCEP.............................................................................................................321 iOS : paramètres de profil SCEP............................................................................................................................. 325 OS X : paramètres de profil SCEP........................................................................................................................... 327 Android : paramètres de profil SCEP...................................................................................................................... 329 Windows 10 : paramètres de profil SCEP................................................................................................................ 334 Paramètres du profil Wi-Fi ............................................................................................................................................ 336 Communs : paramètres de profil Wi-Fi ...................................................................................................................337 BlackBerry 10 : paramètres de profil Wi-Fi .............................................................................................................337 : paramètres de profil iOSOS XWi-Fi......................................................................................................................343 Android : paramètres de profil Wi-Fi ...................................................................................................................... 349 Windows : paramètres de profil Wi-Fi .....................................................................................................................354 Paramètres du profil VPN..............................................................................................................................................358 BlackBerry 10 : paramètres de profil VPN.............................................................................................................. 359 : paramètres de profil VPNiOSOS X........................................................................................................................371 Android : paramètres de profil VPN........................................................................................................................ 380 Windows 10 : paramètres de profil VPN ................................................................................................................. 385 Paramètres de profil Enterprise Data Protection............................................................ 391 Windows 10 : paramètres de profil de protection des données d'entreprise....................................................................391 Feuille de référence des stratégies................................................................................ 393 Glossaire...................................................................................................................... 394 Informations juridiques................................................................................................. 397 À propos de ce guide À propos de ce guide 1 BES12 vous permet de gérer les terminaux de votre organisation. Ce guide explique comment administrer BES12, de la création d'administrateurs à l'ajout d'utilisateur et de terminaux en passant par la gestion et la surveillance de BES12. Les tâches du présent guide sont présentées dans un ordre particulier pour plus d'efficacité, notamment si vous administrez BES12 pour la première fois. Toutes les tâches décrites dans ce guide ne sont pas obligatoires. Vous pouvez choisir d'activer certains types de terminaux, de séparer les données professionnelles et les données personnelles de différentes manières ou d'utiliser diverses règles de conformité, fonctionnalités et connexions. Ce guide est destiné aux professionnels de l'informatique qui occupent des fonctions de responsables de la configuration et de l'administration deBES12. Avant d'utiliser ce guide, les professionnels de l'informatique doivent configurer l'environnement deBES12. Pour en savoir plus,consultez le contenu relatif à la configuration. 13 Mise en route Mise en route 2 Étapes à suivre pour administrer BES12 Pour administrer BES12, procédez comme suit : Étape Action Si vous souhaitez partager les tâches d'administration avec d'autres membres de l'équipe informatique, créez des administrateurs. Configurez des connexions professionnelles. Par exemple, e-mail, Wi-Fi et VPN. Configurez des normes pour les terminaux. Par exemple, règles de conformité. Mettez à jour la stratégie informatique par défaut ou créez de nouvelles stratégies informatiques. Déterminez les applications à envoyer aux terminaux. Créez des utilisateurs et des groupes. Attribuez les connexions professionnelles, normes des terminaux, stratégies informatiques et applications aux utilisateurs et aux groupes. Aidez les utilisateurs à activer leurs terminaux. Exemples de scénarios d'administration quotidiens Les scénarios suivants fournissent des exemples de choix que vous pourriez être amené à faire lors de la configuration de différents terminaux pour différents utilisateurs. 14 Mise en route Scénario Gérer les terminaux BlackBerry 10 à des fins professionnelles et personnelles Gérer les terminaux iOS, Android ou Windows avec une gestion de base Configurer des terminaux iOS ou Android pour renforcer la sécurité des données professionnelles Configurer des terminaux BlackBerry 10 à des fins professionnelles uniquement Configurer un terminal iOS limité à une application pour les démonstrations logicielles Vous voudrez peut-être • Créer des profils pour les certificats • Créer un profil avec authentification unique pour sécuriser les domaines professionnels • Créer un profil pour un serveur proxy • Choisir le type d'activation Travail et Personnel - Entreprise ou Travail et Personnel - Régulé • Créer des profils pour la messagerie professionnelle et le Wi-Fi professionnel • Modifier la stratégie informatique par défaut pour appliquer un mot de passe de terminal • Choisir une application professionnelle à envoyer au terminal • Choisir le type d'activation Contrôles MDM • Activer S/MIME pour renforcer la sécurité de la messagerie • Créer un profil de conformité pour empêcher l'accès aux ressources professionnelles si le terminal venait à être « cracké » ou « flashé » • Créer un profil de filtre de contenu Web pour limiter sites Web auxquels le terminal peut accéder • Configurer Secure Work Space pour séparer et sécuriser les données professionnelles • Créer des profils pour les certificats et le réseau VPN • Activer S/MIME pour renforcer la sécurité de la messagerie • Créer une stratégie informatique pour empêcher l'utilisation de l'appareil photo du terminal • Choisir le type d'activation Espace Travail uniquement • Créer un profil du mode de verrouillage 15 Mise en route À propos de PRIV et de BES12 PRIV est un terminal sécurisé qui exécute Android OS. Pour gérer PRIV avec BES12, suivez les instructions relatives aux terminaux Android. Les types d'activation suivants sont disponibles pour PRIV : • Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) • Travail et Personnel - Confidentialité de l'utilisateur (Android for Work - Premium) • Espace Travail uniquement (Android for Work) • Espace Travail uniquement (Android for Work - Premium) • Contrôles MDM Remarque: Pour ce type d'activation, PRIV doit utiliser l'application TouchDown pour configurer le compte de messagerie automatiquement. • Travail et Personnel - Contrôle total (Secure Work Space) • Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) • Confidentialité de l'utilisateur Nous vous recommandons d'activer PRIV à l'aide d'un type d'activation Android for Work pour atteindre l'expérience optimale. Étapes à suivre pour déployer PRIV dans votre environnement BES12 Pour déployer PRIV dans votre environnement BES12, procédez comme suit : Étape Action Si vous envisagez d'utiliser un type d'activation Android for Work : • configurezBES12pour la prise en charge deAndroid for Work. Pour en savoir plus,consultez le contenu relatif à la configuration. • Définissez BES12 pour prendre en charge les activations Android for Work. Reportez-vous à la section Prise en charge des activations Android for Work . Créer un profil d'activation. Pour plus d'informations, reportez-vous à Créer un profil d'activation.Certains paramètres de profil de BES12 sont propres aux PRIV. Avec les autres paramètres de profil de messagerie Android, les paramètres BlackBerry Productivity Suite et les paramètres S/MIME s'appliquent uniquement aux PRIV. 16 Mise en route Étape Action Attribuez les applications de productivité PRIV. Reportez-vous à la section Sélectionnez les applications de productivité utilisées sur les terminaux PRIV utilisant Android for Work . L'utilisateur active le terminal. Reportez-vous à la section Activer un terminal Android . Remarque: L'utilisateur doit s'assurer de vérifier le bandeau de notification pour la notification sur la synchronisation du compte et entrer le mot de passe. Sinon, aucun e-mail n'est envoyé à PRIV. Pour plus d'informations sur l'activation de PRIV, rendez-vous sur https://www.youtube.com/watch? v=9ogKNLV2NMI pour visionner la vidéo « Activation d'un terminal PRIV avec Android for Work ». Options de gestion de terminaux BES12 prend en charge différentes options de gestion des terminaux. Les options que vous choisissez dépendent des types de terminaux que vous gérez et des exigences de sécurité de votre organisation. BES12 prend en charge les options de gestion suivantes : • Contrôles MDM • Travail et personnel • Espace Travail uniquement Pour chaque option de gestion, vous devez disposer du droit de licence disponible et un profil d'activation adapté doit être attribué aux utilisateurs. Pour plus d'informations sur les licencesBES12,consultez le contenu relatif aux licences. Pour plus d'informations sur la sécurité des différentes options de gestion,reportez-vous au contenu relatif à la sécurité. Contrôles MDM Les contrôles MDM sont les contrôles de gestion disponibles par défaut avec le système d'exploitation du terminal. Il n'existe aucun conteneur chiffré séparé créé sur le terminal et les applications et données de travail ne sont pas séparées des applications et données personnelles. Vous pouvez gérer les terminaux suivants à l'aide des contrôles MDM : • iOS • Android • Windows Pour plus d'informations sur l'activation de terminaux à l'aide des contrôles MDM, reportez-vous à la section Étapes à suivre pour activer des terminaux. 17 Mise en route Travail et personnel Les terminaux Travail et personnel présentent une séparation entre le contenu de travail et le contenu personnel. En fonction du type de terminal et du type d'activation, vous pouvez avoir plus ou moins de contrôle sur l'espace Travail et l'espace Personnel. Vous pouvez autoriser l'utilisateur à contrôler l'espace Personnel, tandis que vous conservez le contrôle sur l'espace Travail. Vous pouvez gérer un Espace Travail et Personnel sur les terminaux suivants : • Terminaux BlackBerry 10 avec BlackBerry Balance • Terminaux Android avec Android for Work • Terminaux Samsung avec Samsung KNOX Workspace • Terminaux Android et iOS avec Secure Work Space Pour plus d'informations sur l'activation de terminaux à l'aide des espaces Travail et Personnel, reportez-vous à la section Étapes à suivre pour activer des terminaux. Espace Travail uniquement Les terminaux Espace Travail uniquement ne disposent pas d'un espace séparé pour les données personnelles. Les données de travail sont protégées à l'aide d'un cryptage et d'une authentification par mot de passe ou autres moyens. Vous pouvez gérer les terminaux dotés d'un Espace Travail uniquement suivants : • BlackBerry 10 • Terminaux Samsung avec Samsung KNOX Workspace • Android for Work Pour plus d'informations sur l'activation de terminaux à l'aide d'un espace Travail uniquement, reportez-vous à la section Étapes à suivre pour activer des terminaux. Configuration de Secure Work Space pour les terminaux iOS et Android Secure Work Space permet de renforcer la sécurité des données professionnelles sur les terminaux iOS et Android. Secure Work Space ressemble à la fonctionnalité BlackBerry Balance des terminaux BlackBerry 10. À l'aide de la conteneurisation et de l'habillage d'application, Secure Work Space sépare les informations personnelles des informations professionnelles en créant un Personal Space et Work Space sur les terminaux. Vous pouvez choisir de disposer d'un contrôle administratif sur le terminal dans son ensemble ou uniquement sur l'espace Travail du terminal d'un utilisateur. Pour configurer Secure Work Space et permettre aux utilisateurs d'activer des terminaux avec Work Space, procédez comme suit : 18 Mise en route • Acheter des licences Secure Work Space Gold • Créer un profil d'activation avec l'un des types d'activation Secure Work Space et l'attribuer aux utilisateurs ou aux groupes. Pour plus d'informations, reportez-vous à Création de profils d'activation. • Envoyer des informations d'activation aux utilisateurs Lorsqu'ils activent leurs terminaux, les utilisateurs sont invités à configurer un Work Space, à créer un mot de passe de Work Space et à installer les applications par défaut du Work Space. Après avoir installé les applications de l'espace Travail par défaut, les utilisateurs peuvent installer les applications sécurisées. Les applications sécurisées sont spécifiquement préparées pour s'exécuter dans l'espace Travail des terminaux iOS et Android avec Secure Work Space. Si les utilisateurs installent les applications sécurisées avant d'avoir terminé de configurer Secure Work Space, les applications ne s'ouvrent pas et l'utilisateur doit les désinstaller. Connectivité d'entreprise et serveurs proxy Vous pouvez utiliser un profil de connectivité d'entreprise pour contrôler la manière les applications de Work Space des terminaux iOS et Android se connectent aux ressources de votre organisation. La connectivité d'entreprise dirige tout le trafic qui passe par BlackBerry Infrastructure vers BES12. Si vous utilisez un proxy pour permettre aux applications du Work Space afin d'accéder aux services Web sur Internet ou un réseau professionnel, vous devez associer le profil proxy au profil de connectivité d'entreprise. La connectivité d'entreprise est activée par défaut. Si vous choisissez de désactiver la connectivité d'entreprise, les applications du Work Space des terminaux iOS ou Android se connectent aux ressources de votre organisation à l'aide du réseau Wi-Fi interne ou d'une connexion VPN configurée sur le terminal. Gestion des terminaux dotés d'un Work Space La présence d'un Work Space sur les terminaux permet de séparer et de sécuriser les informations professionnelles ainsi que leur gestion. Les données de l'espace Travail sont sauvegardées de manière sécurisées et ne sont pas accessibles en dehors de l'espace Travail. Pour plus d'informations sur la sécurité de l'espace Travail, reportez-vous au contenu relatif à la sécurité. Lorsque les utilisateurs activent leurs terminaux, un espace Travail est installé sur ces terminaux et les utilisateurs sont invités à créer des mots de passe d'espace Travail. Pour terminer la configuration du Work Space, les utilisateurs doivent télécharger les applications suivantes sur leurs terminaux : Type de terminal iOS Applications • Work Connect : pour la messagerie, le calendrier, les contacts, les notes et les tâches • Navigateur professionnel : pour la navigation • Documents To Go : pour afficher et modifier de manière sécurisée des documents professionnels 19 Mise en route Type de terminal Applications Android • Work Space Manager : requis pour exécuter d'autres applications du Work Space sur le terminal • Secure Work Space : pour la messagerie, le calendrier, les contacts et la navigation • Documents To Go : pour afficher et modifier de manière sécurisée des documents professionnels L'espace Travail vous permet de tirer parti des fonctionnalités suivantes : • Contrôler les comportements spécifiques de l'espace Travail sur les terminaux, comme les exigences de mot de passe et les préférences de connexion, en attribuant une stratégie informatique aux comptes d'utilisateur. • Utiliser des commandes d'administration informatique pour réinitialiser le mot de passe du Work Space ou supprimer l'espace Travail des terminaux. Mise à niveau des applications du Work Space Pour prendre en charge de nouvelles fonctionnalités et plus de systèmes d'exploitation, BlackBerry publie de nouvelles versions du Work Space dans l'App Store et Google Play. Les utilisateurs sont invités à mettre à niveau les applications du Work Space lorsque de nouvelles versions sont disponibles. Si les utilisateurs mettent à niveau le système d'exploitation de leurs terminaux sans procéder à la mise à niveau vers la dernière version des applications du Work Space, ce dernier peut ne pas fonctionner comme prévu. Pour plus d'informations sur les systèmes d'exploitation de terminaux pris en charge, reportez-vous à la matrice de compatibilité. Tester la connexion à Secure Work Space À tout moment, vous pouvez tester la connexion entre BES12 et l'infrastructure Secure Work Space pour vérifier que Secure Work Space est activé. 1. Sur la barre de menus, cliquez sur Paramètres > Intégration externe. 2. Cliquez sur Secure Work Space. 3. Vérifiez que Secure Work Space est activé et que la connexion à l'infrastructure Secure Work Space a abouti. 4. Vous pouvez également cliquer sur Tester la connexion pour tester la connexion au Work Space. 20 Mise en route Se connecter à BES12 La console de gestion vous permet d'effectuer des tâches administratives pour les terminaux de votre organisation gérés par BES12. Avant de commencer: • Localisez l'adresse Web (par exemple, https://<hostname>/admin/index.jsp) et les informations de connexion à la console de gestion. Ces informations sont disponibles dans la boite de réception du compte de messagerie associé à votre compte BES12. 1. Dans le navigateur, saisissez l'adresse Web de la console de gestion BES12 de votre organisation. 2. Dans le champ Nom d'utilisateur, saisissez votre nom d'utilisateur. 3. Dans le champ Mot de passe, saisissez votre mot de passe. 4. Cliquez sur Se connecter. À la fin: vous pouvez modifier votre mot de passe de connexion en cliquant sur l'icône utilisateur située en haut à droite de la console de gestion. À propos de BES12 Self-Service BES12 Self-Service est une application Web que vous pouvez mettre à la disposition des utilisateurs pour leur permettre d'effectuer certaines tâches telles que la création de mots de passe d'activation, le verrouillage de leurs terminaux ou la suppression des données de leurs terminaux. Les utilisateurs n'ont aucun logiciel à installer pour utiliser BES12 Self-Service. Vous devez fournir les informations de connexion BES12 Self-Service aux utilisateurs. Vous pouvez envoyer ces informations par e-mail ou modifier le modèle d'e-mail d'activation pour les y inclure. Les utilisateurs ont besoin des informations suivantes : • Adresse Web : l'adresse Web de BES12 Self-Service s'affiche dans la console de gestion sous Paramètres > Libreservice. • Nom d'utilisateur et mot de passe : les utilisateurs des annuaires d'entreprise peuvent se connecter à l'aide de leurs noms d'utilisateur et mots de passe. Pour les utilisateurs locaux, vous devez créer des noms d'utilisateur et des mots de passe temporaires. • Nom de domaine : le nom de domaine est requis pour les utilisateurs Microsoft Active Directory. Pour plus d'informations sur l'utilisation de BES12 Self-Service, consultez le Guide de l'utilisateur BES12 Self-Service. Informations connexes Autoriser les utilisateurs à définir des mots de passe d'activation BES12 Self-Service, à la page 253 21 Fonctionnalités prises en charge par type de terminal Fonctionnalités prises en charge par type de terminal 2 Cette référence rapide compare les fonctions prises en charge par les terminaux BlackBerry 10, iOS, OS X, Android et Windows dans BES12 Cloud. Pour plus d'informations sur les versions de système d'exploitation prises en charge,reportez-vous à la matrice de compatibilité. Fonctionnalités des terminaux Fonctionnalité Activation sans fil BlackBerry 10 iOS OS X Android Windows √ √ √ √ √ √ √2 √1 Application client requise pour l'activation √3 Personnalisation du contrat des conditions d'utilisation pour l'activation √ √ √ Limitation des activations par modèle de terminal √ √ √ √ √4 Affichage et exportation du rapport de terminal (par exemple, détails du matériel) √ √ √ √ √ 1 Pour les terminaux iOS inscrits dans DEP, l'application client doit être attribuée à des utilisateurs ou des groupes. 2 Pour terminaux Windows Phone 8.x uniquement. 3 Pour terminaux Windows 10 uniquement. 4 Pour terminaux Windows Phone 8.x et Windows 10 Mobile uniquement. 22 Fonctionnalités prises en charge par type de terminal Fonctionnalités de sécurité Fonctionnalité BlackBerry 10 iOS OS X Android Windows Séparation des données professionnelles et personnelles √ √1 √2 Confidentialité de l'utilisateur pour les données personnelles √ √1 √2 Cryptage des données professionnelles inactives √ √1 √2 Protection du terminal par envoi de commandes informatiques √ √ √ √ √ Contrôle des fonctionnalités du terminal à l'aide de stratégies informatiques √ √ √ √ √ Suppression des données professionnelles après une période d'inactivité √ √1 Appliquer les exigences de mot de passe √ √ Cryptage de la carte multimédia √ √3 Application du cryptage de stockage interne √ √ √1 √ 23 √ √ √ Fonctionnalités prises en charge par type de terminal 1 Nécessite Secure Work Space. 2 Nécessite Secure Work Space, Samsung KNOX Workspace ou Android for Work. 3 Pour terminaux Samsung KNOX uniquement. Envoi de certificats aux terminaux Fonctionnalité BlackBerry 10 iOS OS X Android Windows Profils de certificat d'autorité de certification √ √ √ √ √ Profils SCEP √ √ √ √ √1 √ √ √ √ √ √ Profils des certificats partagés Profils d'informations d'identification de l'utilisateur √ 1 Pour terminaux Windows 10 uniquement. Gestion des connexions professionnelles pour les terminaux iOS OS X CalDAVProfils √ √ CardDAVProfils √ √ Fonctionnalité BlackBerry 10 Android Windows Profils de récupération de certificat √ √1 √1 BlackBerry Secure Connect Plus √ √2 √3 Exchange ActiveSyncProfils de messagerie √ √ √ √4 √ √ √ √ √ Profils de messagerie IMAP/POP3 24 Fonctionnalités prises en charge par type de terminal Fonctionnalité BlackBerry 10 iOS OS X Android Windows Profils proxy √ √ √ √ √5 Profils d'identification unique √ √ Profils VPN √ √ √ √6 √7 Wi-FiProfils √ √ √ √ √ Autres profils • spécifiques au • système d'exploitation Profils CRL Profils OCSP 1 Uniquement pour les terminaux avec Secure Work Space. 2 Uniquement pour les terminaux exécutant iOS version 9.0 et ultérieure. 3 Uniquement pour les terminaux Android for Work et KNOX Workspace. 4 Uniquement pour les terminaux avec l'application TouchDown installée, les terminaux Motorola prenant en charge les API EDM, les terminaux Android for Work, et les terminaux KNOX. 5 Uniquement pour les terminaux Windows 10 (configurez les paramètres de proxy dans les profils VPN) et les terminaux Windows 10 Mobile (configurez les paramètres de proxy dans les profils Wi-Fi). 6 Pour terminaux KNOX Workspace uniquement. 7 Pour terminaux Windows 10 uniquement. Gestion des normes de votre entreprise en matière de terminaux Fonctionnalité Profils d'activation BlackBerry 10 iOS OS X Android Windows √ √ √ √ √ Profils du mode de verrouillage des applications √1 √1 Profils de conformité √ √ √ √2 Profils des terminaux √ √ √ √3 √ √ √4 Profils de service de localisation 25 Fonctionnalités prises en charge par type de terminal Fonctionnalité BlackBerry 10 Profils d'icône Web Autres profils • spécifiques au système d'exploitation Profils d'exigences SR des terminaux iOS OS X √ √ • AirPlayProfils • AirPrintProfil s • Profils de la charge utile personnalisé e • Profils des domaines gérés • Profils d'utilisation du réseau • Profils de filtre de contenu Web Android Windows 1 Uniquement pour les terminaux iOS supervisés et les terminaux KNOX activés avec Contrôles MDM. 2 Pour terminaux Windows Phone 8.x uniquement. 3 Pour terminaux Windows 10 uniquement. 4 Pour terminaux Windows 10 Mobile uniquement. Protection des terminaux perdus ou volés Fonctionnalité BlackBerry 10 Spécifier un mot de passe de terminal √ Verrouiller le terminal √ Déverrouiller le terminal et effacer le mot de passe Supprimer toutes les données du terminal iOS OS X √ √ √ √ Android Windows √ √1 √ √1 √ √ √ 26 √2 √ Fonctionnalités prises en charge par type de terminal Fonctionnalité BlackBerry 10 iOS OS X Android Windows √ √ √ √ √ Supprimer uniquement les données professionnelles 1 Pour terminaux Windows Phone 8.x et Windows 10 Mobile uniquement. 2 Pour les terminaux Motorola qui prennent en charge l'API EDM, les informations présentes sur la carte multimédia sont également supprimées. Pour les terminaux KNOX Workspace, vous pouvez choisir de supprimer les informations de la carte multimédia. Configuration de l'itinérance Fonctionnalité BlackBerry 10 iOS Désactiver la synchronisation automatique en itinérance √1 √ Désactiver les données en itinérance OS X Android Windows √2 √ √2 √ Android Windows 1 Pour la synchronisation avec le serveur de messagerie uniquement. 2 Pour terminaux KNOX uniquement. Gestion des applications BlackBerry 10 iOS Distribuer les applications publiques à partir de la boutique (BlackBerry World, App Store, Google Play, Windows Store) √ √ √ √ Gérer le catalogue d'applications professionnelles √ √ √ √ Fonctionnalité OS X 27 Fonctionnalités prises en charge par type de terminal Fonctionnalité Catalogue d'applications professionnelles de la marque BlackBerry 10 iOS √ √ Gestion des applications limitées Distribuer les applications internes √ OS X Android Windows √ √1 √1 √ √2 √ 1 La liste des applications limitées n'est pas requise pour les terminaux Android for Work, KNOX Workspace ou Windows 10 car seules les applications que l'administrateur attribue peuvent être installées dans l'espace Travail ou sur des terminaux. 2 Non disponible pour les terminaux Android for Work 28 Administrateurs Administrateurs 3 Les administrateurs sont des utilisateurs auxquels un groupe d'utilisateurs ou un compte d'utilisateur a attribué un rôle administratif. Les actions que les administrateurs peuvent effectuer sont définies dans le rôle qui leur est attribué. Vous pouvez attribuer un rôle préconfiguré ou un rôle personnalisé que vous créez. Chaque rôle dispose d'un ensemble d'autorisations qui définit les informations que les administrateurs peuvent afficher et les actions qu'ils peuvent effectuer dans la console de gestion de BES12. Les rôles permettent à votre organisation de : • Réduire les risques de sécurité associés en autorisant tous les administrateurs à accéder aux différentes options administratives • Définir différents types d'administrateurs pour mieux répartir les responsabilités • Renforcer l'efficacité des administrateurs en limitant les options accessibles à leurs responsabilités Étapes à suivre pour configurer des administrateurs Pour configurer des administrateurs, procédez comme suit : Étape Action Si nécessaire, créez un signet. Si nécessaire, modifiez la langue pour les e-mails automatisés. Révisez les rôles préconfigurés et, si nécessaire, créez un rôle personnalisé. Classer les rôles. Créer un administrateur. 29 Administrateurs Personnalisation de l'apparence des consoles Vous pouvez personnaliser l'apparence des consoles en sélectionnant un jeu de couleurs personnalisé. Les couleurs que vous sélectionnez dans BES12 sont utilisées aussi bien dans la console de gestion que dans la console BES12 Self-Service. Vous ne pouvez pas sélectionner le jeu de couleurs dans la console BES12 Self-Service. 1. Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux. 2. Cliquez sur Personnaliser la console. 3. Sélectionnez deux couleurs pour la console. Effectuez l'une des opérations suivantes : • Cliquez sur la case à gauche du code couleur, puis sélectionnez une couleur dans la palette de couleurs. • Saisissez un code couleur dans les champs de sélection. • Sélectionnez une couleur à partir des échantillons de couleur situés à droite du code couleur. Vous pouvez afficher un aperçu du jeu de couleurs dans l'exemple affiché. 4. Cliquez sur Enregistrer. À la fin: Déconnectez-vous, puis reconnectez-vous pour afficher le jeu de couleurs mis à jour. Création de signets de site Web dans les consoles Vous pouvez créer des signets de site Web dans la console de gestion BES12 et la console BES12 Self-Service. Vous pouvez créer différents signets pour chaque console. Par exemple, vous pouvez créer un signet dans BES12 Self-Service pour créer un lien vers les fichiers d'aide personnalisés aux terminaux des utilisateurs. Avant de commencer: Vous devez être un administrateur de sécurité pour pouvoir créer ou modifier des signets dans les consoles. 1. Connectez-vous à BES12 ou BES12 Self-Service. 2. Cliquez sur 3. Sous Ajouter une adresse web, ajoutez les informations de signet : 4. dans l'angle supérieur droit. a. Donnez un nom au signet. b. Saisissez l'URL du site Web. L'URL doit commencer par « http:// » ou « https:// ». Cliquez sur Enregistrer. À la fin: Cliquez sur pour afficher vos signets. Tous les utilisateurs peuvent accéder aux signets, mais seuls les administrateurs de sécurité sont autorisés à créer ou modifier des signets. 30 Administrateurs Modifier la langue pour les e-mails automatisés Dans la console de gestion, vous pouvez modifier la langue des e-mails automatisés. BES12 utilise la langue que vous spécifiez dans les e-mails que vous ne pouvez pas modifier (par exemple, les notifications à propos de l'accès administrateur et des mots de passe de la console). 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Paramètres généraux. 3. Cliquez sur Langue. 4. Dans la liste déroulante, cliquez sur la langue que vous souhaitez utiliser dans les e-mails automatisés de BES12. 5. Cliquez sur Enregistrer. Création et gestion des rôles Vous pouvez passer en revue les rôles préconfigurés disponibles dans BES12 pour déterminer si vous devez créer des rôles personnalisés ou modifier les paramètres de rôle pour répondre aux besoins de votre entreprise. Vous devez être un administrateur de sécurité pour créer des rôles personnalisés, afficher des informations à propos d'un rôle, modifier les paramètres de rôle, supprimer des rôles et classer des rôles. Rôles préconfigurés Dans BES12, le rôle Administrateur de sécurité dispose des autorisations maximales sur la console de gestion, y compris sur la création et la gestion de rôles et d'administrateurs. Au moins un administrateur doit être Administrateur de sécurité. BES12 inclut des rôles préconfigurés, en plus du rôle Administrateur de sécurité. Vous pouvez modifier ou supprimer tous les rôles, à l'exception du rôle Administrateur de sécurité. Les rôles préconfigurés suivants sont disponibles : Rôle Description Administrateur de sécurité Autorisations maximales Administrateur d'entreprise Toutes les autorisations, sauf la création et la modification des rôles et administrateurs Centre d'assistance senior Autorisations permettant d'effectuer des tâches administratives intermédiaires Centre d'assistance junior Autorisations permettant d'effectuer des tâches administratives de base 31 Administrateurs Autorisations pour les rôles préconfigurés Les tableaux suivants répertorient les autorisations activées par défaut pour chaque rôle préconfiguré dans BES12. Dans BES12, le rôle Administrateur de sécurité dispose des autorisations maximales sur la console de gestion, y compris sur la création et la gestion de rôles et d'administrateurs. Rôles et administrateurs Par défaut, le rôle Administrateur de sécurité dans BES12 comprend des autorisations pour créer et gérer des rôles et des administrateurs. Ces autorisations ne sont pas disponibles dans la console de gestion et ne peuvent pas être activées pour un autre rôle. Autorisation Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Afficher les rôles √ NA NA NA Créer et modifier des rôles √ NA NA NA Supprimer des rôles √ NA NA NA Classer les rôles √ NA NA NA Créer des administrateurs √ NA NA NA Supprimer des administrateurs √ NA NA NA Modifier des attributs non administratifs d'administrateurs √ NA NA NA Modifier le mot de passe d'autres administrateurs √ NA NA NA Modifier l'appartenance de rôle pour les administrateurs √ NA NA NA 32 Administrateurs Utilisateurs et terminaux Autorisation Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Afficher les utilisateurs et les terminaux activés √ √ √ √ Créer des utilisateurs √ √ √ Modifier des utilisateurs √ √ √ √ Attribuer des rôles d'utilisateur √ √ √ √ Supprimer des utilisateurs √ √ √ Exporter la liste des utilisateurs √ √ Générer un mot de passe d'activation et l'envoyer par e-mail √ √ √ √ Spécifier un mot de passe d'activation. √ √ √ √ Spécifier un mot de passe de console √ √ √ √ Gérer les terminaux √ √ √ √ Activer l'espace Travail √ √ √ √ Désactiver l'espace Travail √ √ √ √ Verrouiller l'espace Travail √ √ √ √ Réinitialiser le mot de passe de l'espace Travail √ √ √ √ Spécifier un mot de passe de terminal √ √ √ √ Verrouiller le terminal et définir un message √ √ √ √ 33 Administrateurs Autorisation Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Déverrouiller le terminal et effacer le mot de passe √ √ √ √ Supprimer uniquement les données professionnelles √ √ √ √ Supprimer toutes les données du terminal √ √ √ √ Spécifier un mot de passe professionnel et verrouiller √ √ √ √ Obtenir les journaux du terminal √ √ √ Activer le verrouillage d'activation √ √ √ √ Désactiver le verrouillage d'activation √ √ √ √ Afficher les détails de localisation du terminal √ √ √ Afficher l'historique de localisation du terminal √ √ Afficher les informations de contrôle d'accès Exchange √ √ Afficher les informations sur le terminal du programme d'inscription des appareils Apple √ √ Attribuer des configurations d'inscription √ √ Envoyer un e-mail aux utilisateurs √ √ 34 √ √ √ Administrateurs Autorisation Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Envoyer un message électronique d'activation aux utilisateurs √ √ √ Consulter l'historique de contournement du verrouillage d'activation √ √ Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Afficher les paramètres de groupe √ √ √ √ Créer et modifier les groupes d'utilisateurs √ √ √ Attribuer des rôles d'utilisateur √ √ √ Ajouter et supprimer des utilisateurs de groupes d'utilisateurs √ √ √ Supprimer des groupes d'utilisateurs √ √ Créer et modifier les groupes de terminaux √ √ Supprimer des groupes de terminaux √ √ Groupes Autorisation 35 √ Administrateurs Stratégies et profils Autorisation Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Afficher les stratégies informatiques et les profils √ √ √ √ Créer et modifier des stratégies informatiques et des profils √ √ Supprimer les stratégies informatiques et les profils √ √ Attribuer des stratégies informatiques et des profils aux utilisateurs √ √ √ Attribuer des stratégies informatiques et des profils aux groupes d'utilisateurs √ √ √ Attribuer des stratégies informatiques et profils aux groupes de terminaux √ √ √ Classer les stratégies informatiques et les profils √ √ Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Afficher les applications et groupes d'applications √ √ √ √ Créer et modifier des applications et groupes d'application √ √ Supprimer des applications et groupes d'applications √ √ Applications Autorisation 36 Administrateurs Autorisation Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Attribuer des applications et groupes d'applications aux utilisateurs √ √ √ Attribuer des applications et groupes d'applications aux groupes d'utilisateurs √ √ √ Attribuer des applications et groupes d'applications aux groupes de terminaux √ √ √ Afficher les licences des applications √ √ √ Créer les licences des applications √ √ Modifier les licences des applications √ √ Supprimer les licences des applications √ √ Attribuer une licence d'application à des applications ou groupes d'applications √ √ √ Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Afficher les applications limitées √ √ √ √ Créer des applications limitées √ √ √ Applications limitées Autorisation 37 Administrateurs Autorisation Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior √ √ Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior Afficher les paramètres généraux √ √ √ Modifier les paramètres d'activation par défaut √ √ Créer et modifier des modèles d’e-mails √ √ Supprimer des modèles d’e-mails √ √ Modifier les paramètres du mot de passe de la console √ √ Modifier la langue des emails automatiques √ √ Modifier les paramètres de la console en libre-service √ √ Modifier les variables personnalisées √ √ Modifier des notes d'entreprise √ √ Modifier les paramètres du service de localisation √ √ Modifier les paramètres de thème de couleurs √ √ Supprimer des applications limitées Paramètres Autorisation 38 Administrateurs Autorisation Administrateur de sécurité Administrateur d'entreprise Modifier les paramètres d'expiration de la commande de suppression √ √ Modifier les paramètres d'attestation √ √ Afficher la gestion des applications √ √ Modifier BlackBerry World for Work √ √ Modifier les applications Windows Phone 8 √ √ Modifier Work Apps pour iOS √ √ Modifier les applications Windows 10 √ √ Afficher les paramètres d'intégration externe √ √ Modifier les paramètres de notification Push Apple √ √ Modifier les paramètres Apple DEP √ √ Modifier les paramètres BlackBerry Connectivity Node √ √ Modifier les paramètres de l'annuaire d'entreprise √ √ Modifier les paramètres de contrôle d'accès Microsoft Exchange √ √ 39 Centre d'assistance senior Centre d'assistance junior √ √ √ Administrateurs Autorisation Administrateur de sécurité Administrateur d'entreprise Modifier les paramètres Android for Work √ √ Modifier les paramètres d'autorité de certification √ √ Modifier les paramètres d'inscription par lot Samsung KNOX √ √ Afficher les certificats approuvés √ √ Ajouter des certificats approuvés √ √ Supprimer les certificats approuvés √ √ Afficher les paramètres BlackBerry Secure Gateway Service √ √ Modifier les paramètres BlackBerry Secure Gateway Service √ √ Afficher les utilisateurs administrateurs et les rôles √ √ √ Afficher le résumé des licences √ √ √ Afficher les paramètres de migration √ √ Modifier les paramètres de migration √ √ 40 Centre d'assistance senior Centre d'assistance junior Administrateurs Planche de bord Autorisation Afficher le tableau de bord Administrateur de sécurité Administrateur d'entreprise Centre d'assistance senior Centre d'assistance junior √ √ √ √ Créer un rôle personnalisé Si les rôles préconfigurés disponibles dans BES12 ne répondent pas aux besoins de votre entreprise, vous pouvez créer des rôles personnalisés pour les administrateurs. Vous pouvez également personnaliser les rôles pour limiter les tâches administratives à une liste définie de groupes d'utilisateurs. Par exemple, vous pouvez créer un rôle pour les nouveaux administrateurs qui limite leurs autorisations à un groupe d'utilisateurs à des fins de formation uniquement. Avant de commencer: Vous devez être Administrateur de sécurité pour créer un rôle personnalisé. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 3. Cliquez sur Rôles. 4. Cliquez sur 5. Saisissez le nom et la description du rôle. 6. Pour copier les autorisations d'un autre rôle, cliquez sur un rôle de la liste déroulante Autorisations copiées à partir du rôle. 7. Effectuez l'une des tâches suivantes : Tâche . Étapes Autoriser les administrateurs de ce rôle 1. à rechercher tous les annuaires d'entreprise Sélectionnez l'option Tous les répertoires d'entreprise. Autoriser les administrateurs de ce rôle 1. à rechercher les annuaires 2. d'entreprise sélectionnés 3. Sélectionnez l'option Répertoires d'entreprise sélectionnés uniquement. 4. 8. Cliquez sur Sélectionner des répertoires. Sélectionnez un ou plusieurs annuaires et cliquez sur . Cliquez sur Enregistrer. Effectuez l'une des tâches suivantes : 41 Administrateurs Tâche Étapes Autoriser les administrateurs de ce rôle 1. à gérer tous les utilisateurs et groupes Sélectionnez l'option Tous les groupes et utilisateurs. Autoriser les administrateurs de ce rôle 1. à gérer les groupes sélectionnés 2. Sélectionnez l'option Groupes sélectionnés uniquement. 3. Sélectionnez un ou plusieurs groupes, puis cliquez sur . 4. Cliquez sur Enregistrer. 9. Cliquez sur Sélectionner des groupes. Configurez les autorisations des administrateurs de ce rôle. 10. Cliquez sur Enregistrer. À la fin: classez les rôles. Informations connexes Classer les rôles, à la page 44 Afficher un rôle Vous pouvez afficher les informations de rôle suivantes : • Répertoires d'entreprises dans lesquels les administrateurs du rôle peuvent rechercher. • Groupes d'utilisateurs que les administrateurs du rôle peuvent gérer. • Autorisations pour les administrateurs du rôle. Avant de commencer: Vous devez être Administrateur de sécurité pour afficher un rôle. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 3. Cliquez sur Rôles. 4. Cliquez sur le nom du rôle que vous souhaitez afficher. Modifier les paramètres de rôle Vous pouvez modifier les paramètres de tous les rôles, à l'exception du rôle Administrateur de sécurité. Avant de commencer: vous devez être Administrateur de sécurité pour modifier les paramètres de rôle. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 42 Administrateurs 3. Cliquez sur Rôles. 4. Cliquez sur le nom du rôle que vous souhaitez modifier. 5. Cliquez sur 6. Pour modifier l'accès aux répertoires, effectuez l'une des tâches suivantes : . Tâche Étapes Autoriser les administrateurs de ce rôle 1. à rechercher tous les annuaires d'entreprise Sélectionnez l'option Tous les répertoires d'entreprise. Autoriser les administrateurs de ce rôle 1. à rechercher les annuaires 2. d'entreprise sélectionnés 3. Sélectionnez l'option Répertoires d'entreprise sélectionnés uniquement. 4. 7. Cliquez sur Sélectionner des répertoires. Sélectionnez un ou plusieurs annuaires et cliquez sur . Cliquez sur Enregistrer. Pour modifier la gestion du groupe, effectuez l'une des tâches suivantes : Tâche Étapes Autoriser les administrateurs de ce rôle 1. à gérer tous les utilisateurs et groupes Sélectionnez l'option Tous les groupes et utilisateurs. Autoriser les administrateurs de ce rôle 1. à gérer les groupes sélectionnés 2. Sélectionnez l'option Groupes sélectionnés uniquement. 3. Sélectionnez un ou plusieurs groupes, puis cliquez sur . 4. Cliquez sur Enregistrer. Cliquez sur Sélectionner des groupes. 8. Modifiez les autorisations des administrateurs de ce rôle. 9. Cliquez sur Enregistrer. À la fin: si nécessaire, modifiez le classement du rôle. Informations connexes Classer les rôles, à la page 44 Supprimer un rôle Vous pouvez supprimer tous les rôles, à l'exception du rôle Administrateur de sécurité. 43 Administrateurs Avant de commencer: • Vous devez être Administrateur de sécurité pour supprimer un rôle. • Supprimez le rôle de tous les comptes d'utilisateur et groupes d'utilisateurs auxquels il est affecté. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 3. Cliquez sur Rôles. 4. Cliquez sur le nom du rôle que vous souhaitez supprimer. 5. Cliquez sur . Informations connexes Comment BES12 choisit le rôle à attribuer, à la page 44 Comment BES12 choisit le rôle à attribuer Un seul rôle est attribué à un administrateur. BES12 utilise les règles suivantes pour déterminer le rôle à attribuer à un administrateur : • Un rôle directement attribué à un compte d'utilisateur est prioritaire sur un rôle attribué indirectement par un groupe d'utilisateurs. • Si un administrateur est membre de plusieurs groupes d'utilisateurs possédant des rôles différents, BES12 attribue le rôle avec le rang le plus élevé. Classer les rôles Le classement permet de déterminer quel rôle BES12 attribue à un administrateur lorsqu'il est membre de plusieurs groupes d'utilisateurs qui possèdent des rôles différents. Avant de commencer: vous devez être Administrateur de sécurité pour classer les rôles. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 3. Cliquez sur Rôles. 4. Utilisez les flèches pour déplacer les rôles vers le haut ou le bas du classement. 5. Cliquez sur Enregistrer. 44 Administrateurs Créer un administrateur Vous pouvez créer un administrateur en ajoutant un rôle à un compte d'utilisateur ou à un groupe d'utilisateurs. Le groupe d'utilisateurs peut être un groupe lié par annuaire ou un groupe local. Vous pouvez ajouter un rôle à un utilisateur et un rôle à chaque groupe auquel il appartient, et BES12 affecte uniquement l'un des rôles de l'utilisateur. Avant de commencer: • Vous devez être Administrateur de sécurité pour créer un administrateur. • Créez un compte d'utilisateur auquel est associée une adresse électronique. • Si nécessaire, créez un groupe d'utilisateurs. • Si nécessaire, créez un rôle personnalisé. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 3. Effectuez l'une des tâches suivantes : Tâche Étapes Ajouter un rôle à un compte d'utilisateur 1. Cliquez sur Utilisateurs. 2. Cliquez sur 3. Si nécessaire, recherchez un compte d'utilisateur. 4. Cliquez sur le nom du compte d'utilisateur. 5. Dans la liste déroulante Rôle, cliquez sur le rôle que vous souhaitez ajouter. 6. Cliquez sur Enregistrer. 1. Cliquez sur Groupes. 2. Cliquez sur 3. Si nécessaire, recherchez un groupe d'utilisateurs. 4. Cliquez sur le nom du groupe d'utilisateurs. 5. Dans la liste déroulante Rôle, cliquez sur le rôle que vous souhaitez ajouter. 6. Cliquez sur Enregistrer. Ajouter le rôle à un groupe d'utilisateurs . . BES12 envoie aux administrateurs un e-mail avec le nom d'utilisateur et un lien vers la console de gestion. BES12 envoie également aux administrateurs un e-mail distinct contenant leur mot de passe pour accéder à la console de gestion. Si un 45 Administrateurs utilisateur ne dispose pas de mot de passe pour la console, BES12 génère un mot de passe temporaire et l'envoie à l'administrateur. À la fin: si nécessaire, ajoutez des comptes d'utilisateur à un groupe d'utilisateurs auquel un rôle a été attribué. Seuls les Administrateurs de sécurité peuvent ajouter ou supprimer un groupe d'utilisateurs auquel un rôle a été attribué. Informations connexes Comment BES12 choisit le rôle à attribuer, à la page 44 Créer un rôle personnalisé, à la page 41 Création et gestion de groupes d'utilisateurs, à la page 196 Création et gestion de comptes d'utilisateur, à la page 211 Modifier l'appartenance de rôle pour les administrateurs Vous pouvez modifier le rôle attribué directement à d'autres administrateurs. Vous ne pouvez pas modifier votre propre rôle. Avant de commencer: Vous devez être Administrateur de sécurité pour modifier l'appartenance au rôle pour les administrateurs. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 3. Effectuez l'une des tâches suivantes : Tâche Étapes Modifier le rôle affecté à un compte d'utilisateur 1. Cliquez sur Utilisateurs. 2. Si nécessaire, recherchez un compte d'utilisateur. 3. Cliquez sur le nom du compte d'utilisateur. 4. Dans la liste déroulante Rôle, cliquez sur le rôle que vous souhaitez attribuer. 5. Cliquez sur Enregistrer. 1. Cliquez sur Groupes. 2. Si nécessaire, recherchez un groupe d'utilisateurs. 3. Cliquez sur le nom du groupe d'utilisateurs. 4. Dans la liste déroulante Rôle, cliquez sur le rôle que vous souhaitez attribuer. 5. Cliquez sur Enregistrer. Modifier le rôle affecté à un groupe d'utilisateurs 46 Administrateurs Informations connexes Comment BES12 choisit le rôle à attribuer, à la page 44 Supprimer un administrateur Vous pouvez supprimer un administrateur en supprimant un rôle attribué directement à un compte d'utilisateur ou à un groupe d'utilisateurs. Lorsque vous supprimez un rôle d'un groupe d'utilisateurs, le rôle est supprimé pour chaque utilisateur appartenant au groupe. Si aucun autre rôle n'est attribué, l'utilisateur n'est plus administrateur. Les comptes d'utilisateur et groupes d'utilisateurs demeurent dans la console de gestion et les terminaux ne sont pas affectés. Remarque: Au moins un administrateur doit être Administrateur de sécurité. Avant de commencer: Vous devez être Administrateur de sécurité pour pouvoir supprimer un administrateur. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Administrateurs. 3. Effectuez l'une des tâches suivantes : Tâche Étapes Supprimer un rôle d'un compte d'utilisateur 1. Cliquez sur Utilisateurs. 2. Sélectionnez le compte d'utilisateur duquel vous souhaitez supprimer le rôle. 3. Cliquez sur 4. Cliquez sur Supprimer. 1. Cliquez sur Groupes. 2. Sélectionnez le groupe d'utilisateurs duquel vous souhaitez supprimer le rôle. 3. Cliquez sur 4. Cliquez sur Supprimer. Supprimer un rôle d'un groupe d'utilisateurs . . 47 Profils Profils 4 Un profil contient des informations de configuration pour les terminaux et chaque type de profil prend en charge une configuration particulière, comme des certificats, paramètres de connexion professionnelle ou paramètres appliquant certaines normes pour les terminaux. Vous pouvez spécifier les paramètres des terminaux BlackBerry 10, iOS, OS X, Android et Windows dans un même profil, puis distribuer les informations de configuration aux terminaux en attribuant le profil à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Les profils permettent à votre organisation de configurer efficacement les terminaux. S'il vous faut spécifier de nombreux paramètres ou configurer de nombreux terminaux, les profils vous permettent de stocker tous les paramètres d'une configuration spécifique à un même emplacement et de rapidement transférer les paramètres aux terminaux concernés. Attribution de profils Vous pouvez attribuer des profils à des comptes d'utilisateur, groupes d'utilisateurs et groupes de terminaux. Certains types de profil peuvent utiliser le classement pour déterminer le profil envoyé à un terminal. • Type de profil classé : vous pouvez attribuer un profil à un utilisateur et un profil à chaque groupe auquel il appartient, et BES12 envoie un seul des profils attribués au terminal de l'utilisateur. • Type de profil non classé : vous pouvez attribuer plusieurs profils à un utilisateur et profils multiples à chaque groupe auquel il appartient, et BES12 envoie tous les profils attribués au terminal de l'utilisateur. Remarque: vous ne pouvez pas attribuer de profil d'activation à un groupe de terminaux. Attribution à un utilisateur ou à un groupe Types de profils Un profil de chaque type peut être attribué Les types de profils classés suivants sont disponibles dans BES12 : • Activation • Mode de verrouillage des applications • Récupération de certificat • Conformité • CRL • Terminal • Configuration logicielle minimale requise du terminal • Adresse électronique, 48 Profils Attribution à un utilisateur ou à un groupe Types de profils • Connectivité d'entreprise • Service de localisation • Utilisation du réseau • OCSP • Proxy • Identification unique Plusieurs profils de chaque type peuvent Les types de profils non classés suivants sont disponibles dans BES12 : être attribués • AirPlay • AirPrint • Certificat d'autorité de certification • CalDAV • CardDAV • Charge utile personnalisée • Messagerie IMAP/POP3 • Domaines gérés • SCEP • Certificat partagé • Informations d'identification de l'utilisateur • VPN • Filtre de contenu Web • Icône Web • Wi-Fi Informations connexes Comment BES12 choisit les profils à attribuer, à la page 50 Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Créer un profil de la configuration logicielle minimale requise du terminal, à la page 120 Classer les profils, à la page 53 49 Profils Comment BES12 choisit les profils à attribuer Pour les types de profils classés, BES12envoie un seul profil de chaque type à un terminal et utilise des règles prédéfinies pour déterminer le profil à attribuer à un utilisateur et les terminaux que l'utilisateur active. Attribué à Règles Compte d'utilisateur 1. Un profil directement attribué à un compte d'utilisateur est prioritaire sur un profil de même type attribué indirectement par groupe d'utilisateurs. 2. Si un utilisateur est membre de plusieurs groupes d'utilisateurs dotés de différents profils de même type, BES12 attribue le profil avec le rang le plus élevé. 3. Le cas échéant, le profil par défaut préconfiguré est attribué si aucun profil n'est attribué à un compte d'utilisateur directement ou par appartenance aux groupes d'utilisateurs. (afficher l'onglet Synthèse) Remarque: BES12 inclut un profil d'activation par défaut, un profil de conformité par défaut et un profil de connectivité d'entreprise par défaut dotés de paramètres préconfigurés pour chaque type de terminal. Terminal (afficher l'onglet Terminal) Par défaut, un terminal hérite du profil attribué par BES12 à l'utilisateur qui active le terminal. Si un terminal appartient à un groupe de terminaux, les règles suivantes s'appliquent : 1. Un profil attribué à un groupe de terminaux est prioritaire sur le profil de même type attribué par BES12 à un compte d'utilisateur. 2. Si un terminal est membre de plusieurs groupes de terminaux dotés de différents profils de même type, BES12 attribue le profil avec le rang le plus élevé. BES12 peut devoir résoudre des profils en conflit lorsque vous effectuez l'une des opérations suivantes : • Attribuer un profil à un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux • Supprimer un profil d'un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux • Modifier classement d'un profil • Supprimer un profil • Modifier l'appartenance à un groupe d'utilisateurs (comptes d'utilisateur et groupes imbriqués) • Modifier les attributs des terminaux • Modifier l'appartenance à un groupe de terminaux • Supprimer un groupe d'utilisateurs ou un groupe de terminaux 50 Profils Informations connexes Attribution de profils, à la page 48 Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Créer un profil de la configuration logicielle minimale requise du terminal, à la page 120 Classer les profils, à la page 53 Gestion des profils Dans la bibliothèque des stratégies et des profils, vous pouvez gérer les profils utilisés par votre organisation. Vous pouvez copier les profils, afficher des informations les concernant, modifier les paramètres d'un profil, supprimer un profil de comptes d'utilisateur ou groupes d'utilisateurs, supprimer et classer des profils. Copier un profil Vous pouvez copier des profils existants afin de créer rapidement des profils similaires pour différents groupes au sein de votre entreprise. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Développez un type de profil. 3. Cliquez sur le nom du profil que vous souhaitez copier. 4. Cliquez sur 5. Saisissez le nom et la description du nouveau profil. 6. Apportez les modifications dans l'onglet correspondant à chaque type de terminal. 7. Cliquez sur Enregistrer. . À la fin: Si nécessaire, classez les profils. Afficher un profil Vous pouvez afficher les informations de profil suivantes : • Paramètres communs à tous les types de terminaux et spécifiques à chaque type de terminal • Liste et nombre de comptes d'utilisateur auxquels est attribué le profil (directement et indirectement) • Liste et nombre de groupes d'utilisateurs auxquels est attribué le profil (directement) 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Développez un type de profil. 51 Profils 3. Cliquez sur le nom du profil que vous souhaitez afficher. Modifier les paramètres de profil Si vous mettez à jour un profil d'activation, les nouveaux paramètres du profil s'appliquent uniquement aux terminaux supplémentaires activés par un utilisateur. Les terminaux activés n'utilisent pas les nouveaux paramètres du profil tant que l'utilisateur ne les a pas réactivés. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Développez un type de profil. 3. Cliquez sur le nom du profil que vous souhaitez modifier. 4. Cliquez sur 5. Modifiez les paramètres communs. 6. Apportez les modifications dans l'onglet correspondant à chaque type de terminal. 7. Cliquez sur Enregistrer. . À la fin: Si nécessaire, classez les profils. Supprimer un profil de comptes d'utilisateur ou de groupes d'utilisateurs Si un profil est directement attribué à des comptes d'utilisateur ou à des groupes d'utilisateurs, vous pouvez le supprimer des utilisateurs ou des groupes. Si un profil est indirectement attribué par un groupe d'utilisateurs, vous pouvez supprimer le profil du groupe ou supprimer les comptes d'utilisateur du groupe. Lorsque vous supprimez un profil des groupes d'utilisateurs, le profil est supprimé de chaque utilisateur appartenant aux groupes sélectionnés. Remarque: le profil d'activation par défaut, le profil de conformité par défaut et le profil de connectivité d'entreprise par défaut peuvent uniquement être supprimés d'un compte d'utilisateur si vous les avez directement attribués à l'utilisateur. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Développez un type de profil. 3. Cliquez sur le nom du profil que vous souhaitez supprimer des comptes d'utilisateur ou des groupes d'utilisateurs. 4. Effectuez l'une des tâches suivantes : Tâche Étapes Supprimer un profil de comptes d'utilisateur 1. Cliquez sur l'onglet Attribué aux utilisateurs. 2. Si nécessaire, recherchez les comptes d'utilisateur. 52 Profils Tâche Étapes Supprimer un profil de groupes d'utilisateurs 3. Sélectionnez les comptes d'utilisateur desquels vous souhaitez supprimer le profil. 4. Cliquez sur 1. Cliquez sur l'onglet Attribué aux groupes. 2. Si nécessaire, recherchez les groupes d'utilisateurs. 3. Sélectionnez les groupes d'utilisateurs desquels vous souhaitez supprimer le profil. 4. Cliquez sur . . Informations connexes Comment BES12 choisit les profils à attribuer, à la page 50 Supprimer un profil Lorsque vous supprimez un profil, BES12 supprime le profil des utilisateurs et des terminaux auquel il est attribué. Pour supprimer un profil associé à d'autres profils, vous devez d'abord supprimer toutes les associations existantes. Par exemple, avant de pouvoir supprimer un profil proxy associé à un profil VPN et un profil Wi-Fi, vous devez modifier la valeur du profil proxy associé dans le profil VPN et le profil Wi-Fi. Remarque: vous ne pouvez pas supprimer le profil d'activation par défaut, le profil de conformité par défaut ou le profil de la connectivité d'entreprise par défaut. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Développez un type de profil. 3. Cliquez sur le nom du profil que vous souhaitez supprimer. 4. Cliquez sur 5. Cliquez sur Supprimer. . Informations connexes Comment BES12 choisit les profils à attribuer, à la page 50 Classer les profils Le classement est utilisé pour déterminer le profil envoyé par BES12 à un terminal dans les scénarios suivants : • Un utilisateur est membre de plusieurs groupes d'utilisateurs dotés de profils de même type. 53 Profils • Un terminal est membre de plusieurs groupes de terminaux dotés de profils de même type. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Développez un type de profil. 3. Cliquez sur Classer les profils <profile_type> . 4. Utilisez les flèches pour déplacer les profils vers le haut ou le bas du classement. 5. Cliquez sur Enregistrer. Informations connexes Attribution de profils, à la page 48 Comment BES12 choisit les profils à attribuer, à la page 50 Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 54 Variables Variables 5 BES12 prend en charge les variables par défaut et les variables personnalisées. Les variables par défaut correspondent aux attributs de compte standard (nom d'utilisateur, par exemple) et d'autres attributs prédéfinis (adresse du serveur utilisée pour l'activation du terminal). Vous pouvez utiliser les variables personnalisées pour définir des attributs supplémentaires. Vous pouvez utiliser les variables dans les profils et personnaliser les notifications de conformité et les e-mails d'activation. Vous pouvez utiliser les variables pour faire référence à des valeurs plutôt que de spécifier des valeurs réelles. Lorsque le profil, la notification de conformité ou l'e-mail d'activation sont envoyés aux terminaux, les variables sont remplacées par les valeurs qu'elles représentent. Remarque: les stratégies informatiques ne prennent pas en charge les variables. Utilisation de variables dans les profils Les variables des profils vous aident à gérer efficacement les profils des utilisateurs de votre organisation. Les variables offrent plus de flexibilité aux profils et permettent de limiter le nombre de profils dont vous avez besoin pour chaque type de profil. Par exemple, vous pouvez créer un seul profil VPN pour plusieurs utilisateurs spécifiant la variable %UserName% au lieu de créer un profil VPN distinct pour chaque utilisateur spécifiant la valeur de nom d'utilisateur réelle. Vous pouvez utiliser une variable dans tous les champs de texte d'un profil, à l'exception des champs Nom et Description. Par exemple, vous pouvez spécifier « %UserName%@exemple.com » dans le champ Adresse électronique d'un profil de messagerie. Dans les profils de conformité, vous pouvez utiliser des variables pour personnaliser les notifications de conformité envoyées par BES12 aux utilisateurs. Variables par défaut Les variables par défaut suivantes sont disponibles dans BES12 : Nom de la variable Description Utilisation principale %ActivationPassword% Mot de passe d'activation généré automatiquement ou défini pour un utilisateur E-mails d'activation %ActivationPasswordExpiry% Date et heure d'expiration d'un mot de passe d'activation E-mails d'activation 55 Variables Nom de la variable Description Utilisation principale %ActivationURL% Adresse Web du serveur qui reçoit les demandes d'activation E-mails d'activation %ActivationUserName% Nom d'utilisateur pour les demandes d'activation E-mails d'activation Équivalent à %UserEmailAddress% (si disponible pour l'utilisateur) ou à SRP ID\%UserName% %AdminPortalURL% Adresse Web de la console de gestion de BES12 %ClientlessActivationURL% Adresse Web du serveur qui reçoit les requêtes E-mails d'activation d'activation de terminaux exécutant Windows 10 et versions ultérieures %ComplianceApplicationList% Liste des applications qui violent les règles de Notifications de conformité conformité (applications non attribuées installées, applications requises non installées ou applications limitées installées) %ComplianceEnforcementAction% Action d'application effectuée par BES12 en cas de non-conformité d'un terminal Notifications de conformité %ComplianceEnforcementActionWit Action d'application effectuée par BES12 en cas hDescription% de non-conformité d'un terminal, avec description de l'action d'application Notifications de conformité %ComplianceRuleViolated% Règle de conformité violée par un terminal Notifications de conformité %DeviceIMEI% Numéro IMEI d'un terminal Profils %DeviceModel% Numéro de modèle d'un terminal Notifications de conformité %RsaRootCaCertUrl% Adresse Web du certificat racine de l'autorité de certification RSA E-mails d'activation serialNumber Numéro de série d'un terminal Paramètre objet dans les profils SCEP %SSLCertName% Nom commun du certificat de communication sécurisé E-mails d'activation %SSLCertSHA% Empreinte du certificat de communication sécurisé E-mails d'activation 56 E-mails d'accès administrateur (non personnalisables) Variables Nom de la variable Description Utilisation principale %UserDisplayName% Nom d'affichage d'un utilisateur E-mails d'activation, profils %UserDisplayName_RDNValue% Nom d'affichage d'un utilisateur avec les caractères spéciaux échappés conformément à la spécification DN LDAP Paramètre objet dans les profils SCEP %UserDistinguishedName% Nom distinctif de l'utilisateur d'annuaire avec les Paramètre objet dans les profils caractères spéciaux échappés conformément à SCEP la spécification DN LDAP Pour un utilisateur local, correspond à %UserName_RDNValue% %domaine de l'utilisateur% Domaine Microsoft Active Directory auquel appartient un utilisateur d'annuaire Profils %UserDomain_RDNValue% Domaine Microsoft Active Directory auquel appartient un utilisateur d'annuaire avec les caractères spéciaux échappés conformément à la spécification DN LDAP Paramètre objet dans les profils SCEP %adresse électronique utilisateur% Adresse électronique d'un utilisateur E-mails d'activation, profils %UserEmailAddress_RDNValue% Adresse électronique d'un utilisateur avec les caractères spéciaux échappés conformément à la spécification DN LDAP Paramètre objet dans les profils SCEP %nom d'utilisateur% Nom d'utilisateur d'un utilisateur E-mails d'activation, profils %UserName_RDNValue% Nom d'utilisateur d'un utilisateur avec les caractères spéciaux échappés conformément à la spécification DN LDAP Paramètre objet dans les profils SCEP %UserPrincipalName% Nom principal de l'utilisateur d'annuaire Profils Pour un utilisateur local, correspond à %UserEmailAddress% %UserPrincipalName_RDNValue% Nom d'utilisateur de l'utilisateur d'annuaire avec Paramètre objet dans les profils les caractères spéciaux échappés conformément SCEP à la spécification DN LDAP Pour un utilisateur local, correspond à %UserEmailAddress_RDNValue% 57 Variables Nom de la variable Description Utilisation principale %UserSelfServicePortalURL% Adresse Web de BES12 Self-Service E-mails d'activation Variables personnalisées Vous utilisez des libellés pour définir les attributs et les mots de passe représentés par les variables personnalisées. Par exemple, vous pouvez spécifier « Mot de passe VPN » comme libellé d'une variable %custom_pswd1%. Lorsque vous créez ou mettez à jour un compte d'utilisateur, les libellés sont utilisés comme noms de champ et vous spécifiez les valeurs appropriées pour les variables personnalisées utilisées par votre organisation. Tous les comptes d'utilisateur prennent en charge les variables personnalisées, y compris les comptes d'administrateur. Les variables personnalisées prennent en charge les valeurs de texte et les valeurs de texte masquées. Pour des raisons de sécurité, vous devez utiliser des variables personnalisées prenant en charge les valeurs de texte masquées pour les mots de passe. Les variables personnalisées suivantes sont disponibles dans BES12 : Nom de la variable Description %custom1%, %custom2%, %custom3%, Vous pouvez utiliser jusqu'à cinq variables différentes pour les attributs que vous %custom4%, %custom5% définissez (valeurs de texte). %custom_pswd1%, %custom_pswd2%, Vous pouvez utiliser jusqu'à cinq variables différentes pour les mots de passe que %custom_pswd3%, %custom_pswd4%, vous définissez (valeurs de texte masquées). %custom_pswd5% Définir des variables personnalisées Vous devez définir des variables personnalisées pour pouvoir les utiliser. Seules les variables personnalisées dotées d'un libellé s'affichent lorsque vous créez ou mettez à jour un compte d'utilisateur. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Paramètres généraux. 3. Cliquez sur Variables personnalisées. 4. Cochez la case Afficher les variables personnalisées lors de l'ajout ou de la modification d'un utilisateur. 5. Spécifiez un libellé pour chaque variable personnalisée que vous prévoyez d'utiliser. Les libellés sont utilisés comme noms de champ dans la section Variables personnalisées lorsque vous créez ou mettez à jour un compte d'utilisateur. 6. Cliquez sur Enregistrer. 58 Variables Utilisation de variables personnalisées Après avoir défini des variables personnalisées, vous devez spécifier les valeurs qui conviennent lorsque vous créez ou mettez à jour un compte d'utilisateur. Vous pouvez ensuite utiliser les variables personnalisées de la même manière que les variables par défaut. Vous spécifiez le nom de la variable lorsque vous créez des profils ou personnalisez les notifications de conformité et les e-mails d'activation. Exemple : utilisation d'un même profil VPN pour plusieurs utilisateurs disposant de leurs propres mots de passe VPN Dans l'exemple suivant, « Mot de passe VPN » correspond au libellé que vous spécifiez pour la variable %custom_pswd1% et celle-ci est utilisée en tant que nom de champ dans la section Variables personnalisées lorsque vous mettez à jour un compte d'utilisateur. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux gérés. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Cliquez sur 5. Développez Variables personnalisées. 6. Dans le champ Mot de passe VPN, saisissez le mot de passe VPN de l'utilisateur. 7. Cliquez sur Enregistrer. 8. Répétez les étapes 2 à 7 pour chaque utilisateur qui utilisera le profil VPN. 9. Lorsque vous créez le profil VPN, dans le champ Mot de passe, saisissez %custom_pswd1%. . 59 Certificats Certificats 6 Un certificat est un document numérique émis par une autorité de certification qui vérifie l'identité de l'objet de certificat et la lie à une clé publique. Chaque certificat dispose d'une clé privée correspondante stockée séparément. La clé publique et clé privée forment une paire de clés asymétriques qui peuvent être utilisées à des fins de cryptage des données et d'authentification de l'identité. Une autorité de certification signe le certificat pour vérifier que les entités qui approuvent l'autorité de certification peuvent également approuver le certificat. Selon les fonctionnalités et le type d'activation du terminal, les terminaux peuvent utiliser des certificats pour : • S'authentifier à l'aide du protocole SSL/TLS lorsqu'ils se connectent aux pages Web utilisant le protocole HTTPS • S'authentifier auprès d'un serveur de messagerie professionnel • S'authentifier auprès d'un réseau Wi-Fi ou VPN professionnel • Crypter et signer les e-mails à l'aide de la protection S/MIME De nombreux certificats utilisés à différentes fins peuvent être stockés sur un terminal. Vous pouvez utiliser les profils de certificat pour envoyer des certificats d'autorité de certification et des certificats client aux terminaux. Étapes de l'utilisation des certificats avec des terminaux Pour utiliser des certificats avec des terminaux, vous devez procéder comme suit : Étape Action Si nécessaire, connectez BES12 au logiciel PKI Entrust ou OpenTrust de votre entreprise. Créez un ou plusieurs profils de certificat d'autorité de certification pour envoyer des certificats d'autorité de certification aux terminaux. Créez des profils SCEP, identifiants de l'utilisateur ou certificat partagé pour envoyer des certificats de client aux terminaux. Si nécessaire, associez les profils de certificat aux profils Wi-Fi , VPN ou e-mail. 60 Certificats Étape Action Si nécessaire, attribuez les profils de certificats aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Intégration de BES12 avec le logiciel PKI de votre organisation Si votre organisation utilise le logiciel Entrust ou OpenTrust pour fournir des services PKI, vous pouvez étendre l'authentification basée sur des certificats aux terminaux que vous gérez à l'aide de BES12. Les produits Entrust (comme Entrust IdentityGuard et Entrust Authority Administration Services) et OpenTrust (comme PKI OpenTrust et OpenTrust CMS) délivrent des certificats client. Vous pouvez configurer une connexion au logiciel PKI de votre organisation et utiliser des profils pour envoyer le certificat d'autorité de certification et les certificats client aux terminaux. Connectez BES12 au logiciel Entrust de votre organisation. Pour étendre l'authentification basée sur des certificats Entrust aux terminaux, vous devez ajouter une connexion au logiciel Entrust de votre entreprise (par exemple, Entrust IdentityGuard ou Entrust Authority Administration Services). Avant de commencer: Contactez l'administrateur Entrust de votre organisation pour obtenir : • l'URL du service Web MDM de Entrust ; • les informations de connexion d'un compte d'administrateur Entrust que vous pouvez utiliser pour connecter BES12 au logiciel Entrust ; • le certificat d'autorité de certification Entrust contenant la clé publique (.der, .pem ou .cert). BES12 utilise ce certificat pour établir des connexions SSL avec le serveur Entrust 1. Sur la barre de menus, cliquez sur Paramètres. 2. Cliquez sur Intégration externe > Autorité de certification. 3. Cliquez sur Ajouter une connexion Entrust. 4. Dans le champ Nom de connexion, saisissez le nom du groupe. 5. Dans le champ URL, saisissez l'URL du service Web Entrust. 6. Dans le champ Nom d'utilisateur, saisissez le nom d'utilisateur du compte d'administrateur Entrust. 7. Dans le champ Mot de passe, saisissez le mot de passe du compte d'administrateur Entrust. 8. Si vous souhaitez charger un certificat d'autorité de certification pour autoriser BES12 à établir des connexions SSL avec le serveur Entrust, cliquez sur Parcourir. Accédez au certificat d'autorité de certification et sélectionnez-le. 61 Certificats 9. Pour tester la connexion, cliquez sur Tester la connexion. 10. Cliquez sur Enregistrer. À la fin: • Pour modifier une connexion, cliquez sur son nom. • Pour supprimer une connexion, cliquez sur . Connectez BES12 au logiciel OpenTrust de votre organisation Pour étendre l'authentification basée sur des certificats OpenTrust aux terminaux, vous devez ajouter une connexion au logiciel OpenTrust de votre entreprise. BES12 prend en charge l'intégration avec OpenTrust PKI 4.8.0 et version ultérieure et OpenTrust CMS version 2.0.4 et ultérieure. Avant de commencer: Contactez l'administrateur OpenTrust de votre organisation pour obtenir l'URL du serveur OpenTrust, le certificat côté client contenant la clé privée (au format .pfx ou .p12) et le mot de passe du certificat. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Cliquez sur Intégration externe > Autorité de certification. 3. Cliquez sur Ajouter une connexion OpenTrust. 4. Dans le champ Nom de connexion, saisissez le nom du groupe. 5. Dans le champ URL, saisissez l'URL du logiciel OpenTrust. 6. Cliquez sur Parcourir. Naviguez jusqu'au et sélectionnez le certificat côté client utilisé par BES12 pour authentifier la connexion au serveur OpenTrust. 7. Dans le champ Mot de passe du certificat, saisissez le mot de passe du certificat du serveur OpenTrust. 8. Pour tester la connexion, cliquez sur Tester la connexion. 9. Cliquez sur Enregistrer. À la fin: • Si vous utilisez la connexion BES12 avec le logiciel OpenTrust pour distribuer des certificats aux terminaux, les certificats peuvent prendre un certain temps pour devenir valables. Ce retard pourrait entrainer des problèmes avec l'authentification par e-mail au cours du processus d'activation du terminal. Pour résoudre ce problème, dans le logiciel OpenTrust, configurez l'autorité de certification OpenTrustet définissez « Antidater les certificats (secondes) » sur 180. • Pour modifier une connexion, cliquez sur son nom. • Pour supprimer une connexion, cliquez sur . 62 Certificats Envoi de certificats aux terminaux à l'aide de profils Vous pouvez envoyer des certificats aux terminaux à l'aide des profils suivants, disponibles dans la bibliothèque des stratégies et des profils. Profil Description Certificat d'autorité de certification Un profil de certificat d'autorité de certification spécifie un certificat d'autorité de certification que les terminaux peuvent utiliser pour approuver l'identité associée à n'importe quel certificat client ou serveur qui a été signé par cette autorité de certification. SCEP Un profil SCEP indique comment les terminaux sont connectés à et obtiennent des certificats client de l'autorité de certification de votre organisation à l'aide d'un service SCEP. Informations d'identification de l'utilisateur Un profil d'informations d'identification de l'utilisateur spécifie le moyen d'envoi des certificats client aux terminaux si votre organisation utilise le logiciel Entrust ou OpenTrust pour proposer des services PKI. Certificat partagé Un profil de certificat partagé spécifie un certificat client que BES12 envoie aux terminaux iOS et Android. BES12 envoie le même certificat client à chaque utilisateur auquel le profil est attribué. Pour les terminaux iOS et Android, vous pouvez également envoyer un certificat client en l'ajoutant à un compte d'utilisateur sur l'onglet Résumé. Pour plus d'informations, reportez-vous à Ajouter un certificat client à un compte d'utilisateur. Pour les terminaux BlackBerry 10, iOS et Android, si votre organisation utilise des certificats pour S/MIME, vous pouvez également utiliser des profils pour permettre à des terminaux d'obtenir des clés publiques de destinataire et vérifier l'état du certificat. Pour plus d'informations, reportez-vous à Extension de la sécurité de la messagerie à l'aide de S/MIME. Informations connexes Extension de la sécurité de la messagerie à l'aide de S/MIME, à la page 76 Ajouter un certificat client à un compte d'utilisateur, à la page 222 Choix des profils pour envoyer des certificats client aux terminaux Vous pouvez utiliser différents types de profils pour fournir des certificats client aux terminaux. Le type de profil que vous choisissez dépend de la façon dont votre organisation utilise les certificats et des types de terminaux pris en charge. Prenez en compte les recommandations suivantes : 63 Certificats • Pour utiliser les profils SCEP, vous devez disposer d'une autorité de certification qui prend en charge le protocole SCEP. Si votre organisation utilise une autorité de certification Entrust ou OpenTrust, les profils SCEP ne sont pas pris en charge pour les terminaux Windows 10. • Pour utiliser les profils d'informations d'identification de l'utilisateur, vous devez disposer d'une autorité de certification Entrust ou OpenTrust Les profils d'informations d'identification de l'utilisateur ne sont pas pris en charge pour les terminaux Windows 10. • Pour utiliser des certificats client pour une authentification Wi-Fi, VPN et par serveur de messagerie, vous devez associer le profil de certificat avec un profil Wi-Fi, VPN ou de messagerie. • Pour les terminaux iOS et Android, les profils de certificats partagés et les certificats qui sont ajoutés aux comptes utilisateur ne garantissent par le caractère privé de la clé, car vous devez avoir accès à cette clé privée. Les profils SCEP et d'informations d'identification de l'utilisateur sont plus sûrs, car ils envoient la clé privée uniquement au terminal pour lequel le certificat a été émis. • Les certificats client OpenTrust ne sont pas pris en charge pour l'authentification du serveur de messagerie des terminaux avec Secure Work Space. • Si vous souhaitez utiliser un Profil SCEP pour distribuer des certificats clientOpenTrustaux terminaux, vous devez appliquer un correctif à votre logicielOpenTrust. Pour plus d'informations, contactez votre représentant de support techniqueOpenTrustet indiquez la référence de support SUPPORT-798. Informations connexes Créer un profil de messagerie, à la page 74 Créer un profil Wi-Fi, à la page 88 Créer un profil VPN, à la page 90 Envoi de certificats CA à des terminaux Vous devrez peut-être distribuer des certificats d'autorité de certification aux terminaux si votre organisation utilise le protocole S/MIME ou si des terminaux utilisent une authentification basée sur les certificats pour se connecter à un réseau ou à un serveur dans l'environnement de votre organisation. Lorsque vous envoyez un certificat d'autorité de certification à un terminal, celui-ci approuve l'identité associée à un certificat client ou serveur signé par l'autorité de certification. Lorsque le certificat de l'autorité de certification qui a signé les certificats réseau et serveur de votre organisation est stocké sur les terminaux, ces derniers peuvent approuver vos réseaux et serveurs lorsqu'ils établissent des connexions sécurisées. Lorsque le certificat d'autorité de certification qui a signé les certificats S/ MIME de votre organisation est stocké sur des terminaux, ces terminaux peuvent approuver le certificat de l'expéditeur lors de la réception d'un e-mail sécurisé. De nombreux certificats d'autorité de certification utilisés à des fins différentes peuvent être stockés sur un terminal. Vous pouvez utiliser des profils de certificat CA pour envoyer des certificats CA à des terminaux. Créer un profil de certificat d'autorité de certification partagé Avant de commencer: vous devez obtenir le fichier de certificat d'autorité de certification que vous souhaitez envoyer aux terminaux. 64 Certificats 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. Chaque profil de certificat d'autorité de certification doit avoir un nom unique. Certains noms (par exemple, ca_1) sont réservés. 4. Dans le champ Fichier de certificat, cliquez sur Parcourir pour localiser le fichier de certificat. 5. Si le certificat d'autorité de certification est envoyé aux terminaux BlackBerry, spécifiez un ou plusieurs des magasins de certificats suivants auxquels envoyer le certificat sur le terminal : en regard de Certificat d'autorité de certification. • Magasin de certificats du navigateur • Magasin de certificats VPN • Magasin de certificats Wi-Fi • Magasin de certificats d'entreprise 6. Dans l'onglet OS X, dans la liste déroulante Appliquer le profil à, sélectionnez Utilisateur ou Terminal. 7. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un compte d'utilisateur, à la page 222 Attribuer un profil à un groupe d'utilisateurs, à la page 202 Magasins de certificats d'autorité de certification sur les terminaux BlackBerry 10 Les certificats d'autorité de certification envoyés aux terminaux BlackBerry 10 sont stockés dans différents magasins de certificats, selon l'objectif du certificat. Magasin Description Magasin de certificats du navigateur Le navigateur professionnel des terminaux BlackBerry 10 utilise les certificats de ce magasin pour établir des connexions SSL aux serveurs dans l'environnement de votre organisation. Magasin de certificats VPN Les terminaux BlackBerry 10 utilisent les certificats de ce magasin pour les connexions VPN. Vous devez définir le paramètre Source du certificat approuvé du profil VPN sur Magasin de certificats approuvé pour utiliser les certificats de ce magasin pour les connexions VPN professionnelles. Magasin de certificats WiFi Les terminaux BlackBerry 10 utilisent les certificats de ce magasin pour les connexions Wi-Fi. Vous devez définir le paramètre Source du certificat approuvé du profil Wi-Fi sur Magasin de certificats approuvé pour utiliser les certificats de ce magasin pour les connexions Wi-Fi professionnelles. Magasin de certificats d'entreprise Les terminaux BlackBerry 10 utilisent les certificats de ce magasin pour authentifier les e-mails protégés S/MIME reçus. 65 Certificats Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux Vous pouvez utiliser des profils SCEP pour spécifier la manière dont les terminaux BlackBerry 10, les terminaux iOS, les terminaux Windows 10 et les terminaux et Android avec Secure Work Space, Android for Work, KNOX Workspace ou activations MDM KNOX obtiennent des certificats client à partir de l'autorité de certification de votre entreprise via un service SCEP. SCEP est un protocole IETF qui simplifie le processus d'inscription des certificats client sur un grand nombre de terminaux sans nécessiter d'intervention ou d'approbation de l'administrateur pour délivrer chaque certificat. Les terminaux peuvent utiliser le protocole SCEP pour demander et obtenir des certificats client auprès d'une autorité de certification compatible SCEP utilisée par votre organisation. L'autorité de certification que vous utilisez doit prendre en charge les mots de passe de vérification. L'autorité de certification utilise les mots de passe de vérification pour vérifier que le terminal est autorisé à envoyer une demande de certificat. Selon leurs capacités du terminal et le type d'activation, les terminaux peuvent utiliser des certificats client obtenus à l'aide de SCEP pour l'authentification basée sur des certificats à partir du navigateur ou se connecter à un réseau Wi-Fi professionnel, à un VPN professionnel ou à un serveur de messagerie professionnel. Sur les terminaux iOS et Android avec Secure Work Space, le profil SCEP doit être associé à un profil de messagerie ou à un profil Wi-Fi pour être transmis aux terminaux. Sur les terminaux Android for Work, les certificats créés à l'aide d'un profil SCEP ne peuvent pas être utilisés pour l'authentification basée sur des certificats avec votre réseau Wi-Fi professionnel ou votre serveur de messagerie professionnel. Si votre organisation utilise une autorité de certification Entrust ou OpenTrust, les profils SCEP ne sont pas pris en charge pour les terminaux Windows 10. Créer un profil SCEP Les paramètres de profil requis varient selon le type de terminal et dépendent de la configuration du service SCEP dans l'environnement de votre entreprise. Remarque: si vous souhaitez utiliser un Profil SCEP pour distribuer les certificats clientOpenTrustaux terminaux, vous devez appliquer un correctif à votre logicielOpenTrust. Pour plus d'informations, contactez votre représentant de support techniqueOpenTrustet indiquez la référence de support SUPPORT-798. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. Chaque profil de certificat doit avoir un nom unique. 4. Dans le champ URL, saisissez l'URL du service SCEP. L'URL doit inclure le protocole, le FQDN, le numéro de port et le chemin SCEP. 5. Dans le champ Nom de l'instance, saisissez le nom de l'instance pour l'autorité de certification. 6. Dans la liste déroulante Connexion à l'autorité de certification, effectuez l'une des opérations suivantes : en regard de SCEP. 66 Certificats • Pour utiliser une connexion Entrust que vous avez configurée, cliquez sur la connexion qui convient. Dans la liste déroulante Profil, cliquez sur un profil. Spécifiez les valeurs du profil. • Pour utiliser une connexionOpenTrustque vous avez configurée, cliquez sur la connexion qui convient. Dans la liste déroulanteProfil, cliquez sur un profil. Spécifiez les valeurs du profil. • ◦ Les paramètres suivants du profil SCEP ne s'appliquent pas aux certificats client OpenTrust : Utilisation de la clé, Utilisation étendue de la clé, Objet et SAN. ◦ Les certificats client OpenTrust ne sont pas pris en charge pour l'authentification du serveur de messagerie des terminaux avec Secure Work Space. Pour utiliser une autre autorité de certification, cliquez sur Générique. Dans la liste déroulante Type de challenge SCEP, sélectionnez Statique ou Dynamique, puis spécifiez les paramètres requis pour le type de vérification. Remarque: Pour les terminaux Windows, seuls les mots de passe Statiques sont pris en charge. 7. Vous pouvez également décocher la case correspondant aux types de terminaux pour lesquels vous ne souhaitez pas configurer le profil. 8. Procédez comme suit : 9. a. Cliquez sur l'onglet correspondant à un type de terminal. b. Configurez les valeurs qui conviennent pour chaque paramètre de profil afin qu'elles correspondent à la configuration du service SCEP dans l'environnement de votre organisation. Répétez l'étape 8 pour chaque type de terminal de votre organisation. 10. Cliquez sur Ajouter. À la fin: si les terminaux utilisent le certificat client pour s'authentifier auprès d'un réseau Wi-Fi professionnel, d'un VPN professionnel ou d'un serveur de messagerie professionnel, associez le profil SCEP à un profil Wi-Fi, un profil VPN ou un profil de messagerie. Informations connexes Attribuer un profil à un compte d'utilisateur, à la page 222 Attribuer un profil à un groupe d'utilisateurs, à la page 202 Paramètres du profil SCEP, à la page 318 Utilisation de profils d'informations d'identification de l'utilisateur pour envoyer des certificats aux terminaux Les profils d'informations d'identification de l'utilisateur permettent aux terminaux d'obtenir des certificats client de l'autorité de certification Entrust ou OpenTrust. Les profils d'informations d'identification de l'utilisateur sont pris en charge par les terminaux iOS, OS X, Android et les terminaux exécutant BlackBerry 10 OS version 10.3.1 et ultérieure. 67 Certificats Vous pouvez également utiliser les profils SCEP pour envoyer les certificats client Entrust ou OpenTrust à des terminaux (voir Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux). Le type de profil que vous choisissez dépend de la manière dont votre organisation utilise le logiciel PKI, des types de terminaux pris en charge par et de la manière dont vous souhaitez gérer les certificats. Créer un profil d'informations d'identification de l'utilisateur Avant de commencer: • Contactez l'administrateur Entrust ou OpenTrust de votre organisation pour confirmer quel profil PKI vous devez sélectionner. BES12 obtient une liste des profils du logiciel PKI. • Si votre organisation utilise une autorité de certification Entrust, les profils d'informations d'identification de l'utilisateur ne prennent pas en charge les profils dotés à la fois de la signature et des clés de cryptage pour S/MIME. L'administrateur Entrust doit configurer deux profils distincts, un pour la signature et l'autre pour le cryptage. • Les certificats clients OpenTrust ne sont pas pris en charge pour l'authentification du serveur de messagerie pour les terminaux Secure Work Space. • Demandez à l'administrateurEntrust ou OpenTrust quelles sont les valeurs de profil que vous devez fournir. Par exemple, les valeurs correspondant au type de terminal (devicetype), au groupe Entrust IdentityGuard (iggroup) et au nom d'utilisateur Entrust IdentityGuard (igusername). • Si le systèmeOpenTrustde votre entreprise est configuré pour renvoyer uniquement des clés sous séquestre, l'administrateur deOpenTrustdoit vérifier que des certificats sont présents pour chaque utilisateur dans le systèmeOpenTrust. L'attribution d'un profil d'informations d'identification aux utilisateurs dansBES12ne crée pas automatiquement des certificats pour les utilisateurs dansOpenTrust. Dans ce scénario, un profil d'informations d'identification de l'utilisateur peut uniquement distribuer des certificats aux utilisateurs qui ont déjà un certificat dans le systèmeOpenTrust. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. Chaque profil de certificat doit avoir un nom unique. 4. Dans la liste déroulante Connexion à l'autorité de certification, cliquez sur la connexion Entrust ou OpenTrust que vous avez configurée. 5. Dans la liste déroulante Profil, cliquez sur le profil qui convient. 6. Spécifiez les valeurs du profil. 7. Si nécessaire, vous pouvez spécifier un autre nom d'objet ainsi que la valeur du certificat Entrust client. en regard des Informations d'identification de l'utilisateur. a. Dans le tableau SAN, cliquez sur b. Dans la liste déroulante Type SAN, cliquez sur le type qui convient. c. Dans le champ Valeur SAN, tapez la valeur SAN. . Si le type SAN est défini sur Nom RFC822, la valeur doit correspondre à une adresse électronique valide. Si cette option est définie sur URI, la valeur doit correspondre à une URL valide incluant le protocole et le FQDN ou l'adresse 68 Certificats IP. Si cette option est définie sur Nom principal, la valeur doit correspondre à un nom principal valide. Si cette option est définie sur Nom DN, la valeur doit correspondre à un FQDN valide. 8. Si les terminaux BlackBerry 10 utilisent le certificat client pour crypter les e-mails à l'aide de S/MIME et que vous souhaitez que les terminaux conservent les certificats expirés pour permettre aux utilisateurs d'ouvrir d'anciens e-mails, cochez la case Inclure l'historique des certificats. 9. Cliquez sur Ajouter. À la fin: • Attribuez le profil aux comptes d'utilisateur et groupes d'utilisateurs.Les utilisateurs Android sont invités à saisir un mot de passe lorsqu'ils reçoivent le profil (ce mot de passe s'affiche à l'écran). • Si les terminaux utilisent des certificats client pour s'authentifier auprès d'un réseau Wi-Fi, d'un VPN ou d'un serveur de messagerie, associez le profil d'informations d'identification de l'utilisateur à un profil Wi-Fi, VPN ou de messagerie. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Envoi du même certificat client à plusieurs terminaux Vous pouvez utiliser les profils de certificats partagés pour envoyer des certificats client aux terminaux iOS, OS X, et Android activés avec Contrôles MDM, aux terminaux Samsung KNOX et aux terminaux Android for Work. Les profils de certificats partagés envoient la même paire de clés à chaque utilisateur affecté au profil. Utilisez uniquement les profils de certificat partagé pour autoriser plusieurs utilisateurs à partager un certificat client. OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil de certificat partagé à appliquer à l'un ou à l'autre. Créer un profil de certificat partagé Avant de commencer: vous devez obtenir le fichier de certificat client que vous souhaitez envoyer aux terminaux. Le nom du fichier de certificat doit comprendre l'extension .pfx ou .p12. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. Chaque profil de certificat doit avoir un nom unique. Certains noms (par exemple, ca_1) sont réservés. 4. Dans le champ Mot de passe, indiquez un mot de passe pour le profil de certificat partagé. 5. Dans le champ Fichier de certificat, cliquez sur Parcourir pour localiser le fichier de certificat. 6. Dans l'onglet OS X, dans la liste déroulante Appliquer le profil à, sélectionnez Utilisateur ou Terminal. en regard de Certificat Partagé. 69 Certificats 7. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 70 E-mail, Wi-Fi, VPN et autres connexions professionnelles E-mail, Wi-Fi, VPN et autres connexions professionnelles 7 Vous pouvez utiliser des profils pour configurer et gérer les connexions professionnelles des terminaux de votre organisation. Les connexions professionnelles définissent la manière dont les terminaux se connectent aux ressources professionnelles dans l'environnement de votre organisation, comme les serveurs de messagerie, serveurs proxy, réseaux Wi-Fi et VPN. Vous pouvez spécifier les paramètres des terminaux BlackBerry 10, iOS, Android et Windows dans le même profil, puis attribuez le profil à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Étapes à suivre pour configurer les connexions professionnelles des terminaux Pour configurer les connexions professionnelles des terminaux, procédez comme suit : Étape Action Créez des profils pour configurer la manière dont les terminaux se connectent aux ressources professionnelles. Par exemple, créez un profil de messagerie, un profil Wi-Fi ou un profil VPN. Si nécessaire, classez les profils. Attribuez les profils aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Gestion des connexions professionnelles à l'aide des profils Vous pouvez configurer la manière dont les terminaux se connectent à des ressources professionnelles à l'aide des profils suivants, disponibles dans la bibliothèque des stratégies et des profils : 71 E-mail, Wi-Fi, VPN et autres connexions professionnelles Profil Description CalDAV Un profilCalDAVindique les paramètres du serveur que les terminauxiOS etOS X peuvent utiliser pour synchroniser les informations du calendrier. CardDAV Un profilCardDAVindique les paramètres du serveur que les terminauxiOS etOS X peuvent utiliser pour synchroniser les informations de contact. Récupération de certificat Un profil de récupération de certificat spécifie la manière dont les terminaux récupèrent des certificats depuis des serveurs LDAP. CRL Un profil CRL spécifie les configurations CRL utilisées par les terminaux BES12 pour vérifier l'état des certificats. Adresse électronique, Un profil de messagerie spécifie la manière dont les terminaux se connectent à un serveur de messagerie professionnel et synchronisent les e-mails, les entrées de calendrier et les données de l'organiseur à l'aide deExchange ActiveSync ou IBM Notes Traveler. Connectivité d'entreprise Le profil spécifie si les terminaux BlackBerry 10, Samsung KNOX Workspace, Android for Work et iOS peuvent utiliser BlackBerry Secure Connect Plus pour établir des connexions sécurisées aux ressources professionnelles derrière le parefeu en cas d'indisponibilité du VPN ou de connexion Wi-Fi. BES12 inclut un profil de connectivité d'entreprise par défaut. Messagerie IMAP/POP3 Un profil de messagerie IMAP/POP3 spécifie la manière dont les terminaux se connectent à un serveur de messagerie IMAP or POP3 et synchronisent les e-mails. OCSP Un profil OCSP spécifie les répondeurs OCSP utilisés par les terminaux BlackBerry 10 pour vérifier l'état des certificats. Proxy Un profil proxy spécifie la manière dont les terminaux utilisent un serveur proxy pour accéder à des services Web sur Internet ou un réseau professionnel. Identification unique Un profil d'identification unique spécifie la manière dont les terminaux s'authentifient automatiquement auprès des domaines sécurisés après que les utilisateurs aient saisi leur nom d'utilisateur et leur mot de passe pour la première fois. VPN Un profil VPN spécifie la manière dont les terminaux se connectent à un VPN professionnel. Wi-Fi Un profil Wi-Fi spécifie la manière dont les terminaux se connectent à un réseau WiFi professionnel. 72 E-mail, Wi-Fi, VPN et autres connexions professionnelles Meilleure pratique : création de profils de connexions professionnelles Certains profils de connexions professionnelles peuvent inclure un ou plusieurs profils associés. Lorsque vous spécifiez un profil associé, vous liez un profil existant à un profil de connexions professionnelles et les terminaux doivent utiliser le profil associé lorsqu'ils utilisent le profil de connexions professionnelles. Prenez en compte les recommandations suivantes : • Déterminez les connexions professionnelles requises pour les terminaux de votre organisation. • Créez des profils que vous pouvez associer à d'autres profils avant de créer les profils de connexions professionnelles qui les utilisent. • Utilisez des variables, le cas échéant. Vous pouvez associer des profils de certificat et des profils proxy à différents profils de connexions professionnelles. Vous devez créer ces profils dans l'ordre suivant : 1. Profils de certificat 2. Profils proxy 3. Profils de connexions professionnelles (messagerie, VPN et Wi-Fi , par exemple) Par exemple, si vous créez un profil Wi-Fi, vous ne pouvez pas associer de profil proxy au profil Wi-Fi lorsque vous le créez. Après avoir créé un profil proxy, vous devez modifier le profil Wi-Fi pour lui associer le profil proxy. Informations connexes Envoi de certificats aux terminaux à l'aide de profils, à la page 63 Utilisation de variables dans les profils, à la page 55 Configuration d'une messagerie professionnelle pour les terminaux Vous pouvez utiliser les profils de messagerie pour spécifier la manière dont les terminaux se connectent au serveur de messagerie de votre organisation et synchronisent les e-mails, les entrées de calendrier et les données de l'organiseur à l'aide de Exchange ActiveSync ou IBM Notes Traveler. Si vous souhaitez utiliser Exchange ActiveSync, notez ce qui suit : • Pour une sécurité renforcée de la messagerie, vous pouvez activer S/MIME pour les terminaux iOS et Android. Vous pouvez activer S/MIME ou PGP pour les terminaux BlackBerry 10. PGP est pris en charge par BlackBerry 10 OS version 10.3.1 ou ultérieure. 73 E-mail, Wi-Fi, VPN et autres connexions professionnelles • Si vous activez S/MIME, vous pouvez utiliser d'autres profils pour permettre aux terminaux de récupérer automatiquement des certificats S/MIME et en vérifier l'état. Si vous souhaitez utiliser Notes Traveler, notez ce qui suit : • Pour utiliser Notes Traveler avec les terminaux iOS, vous devez activer Secure Work Space. • Pour utiliser Notes Traveler avec les terminaux Android, vous devez utiliser Samsung KNOX Workspace ou Secure Work Space. • La synchronisation des données To Do est uniquement prise en charge sur les terminaux BlackBerry 10. Elle utilise le protocole de communication SyncML sur le serveur Notes Traveler. • Pour une sécurité renforcée de la messagerie sur les terminaux BlackBerry 10, seul le cryptage IBM Notes est pris en charge (S/MIME n'est pas pris en charge). Vous pouvez également utiliser les profils de messagerie IMAP/POP3 pour spécifier la manière dont les terminaux iOS, OS X, Android et Windows se connectent aux serveurs de messagerie IMAP ou POP3 et synchronisent les e-mails. Les terminaux activés pour utiliser KNOX MDM ne prennent pas en charge les protocoles IMAP ou POP3. Créer un profil de messagerie Les paramètres de profil requis varient pour chaque type de terminal et dépendent du serveur de messagerie dans l'environnement de votre entreprise. Avant de commencer: • Si vous utilisez l'authentification basée sur des certificats entre les terminaux et le serveur de messagerie, vous devez créer un profil de certificat d'autorité de certification et l'attribuer aux utilisateurs. Vous devez également veiller à ce que les terminaux disposent d'un certificat client approuvé. • Pour appliquer automatiquement un profil de messagerie à un terminal Android, celui-ci doit respecter l'un des critères suivants. Si le terminal ne satisfait aucun de ces critères, BES12 envoie toujours le profil de messagerie aux terminaux Android, mais l'utilisateur doit configurer manuellement la connexion au serveur de messagerie : • 1. ◦ Terminaux avec Secure Work Space ◦ Terminaux Android for Work ◦ Terminaux Samsung KNOX et Samsung KNOX Workspace ◦ Terminaux Motorola ◦ Terminaux avec application TouchDown installée. Pour plus d'informations sur l'application TouchDown, consultez le site nitrodesk.com. Si vous prévoyez d'utiliserBlackBerry Secure Gateway Servicepour fournir une connexion sécurisée avec le serveur de messagerie de votre entreprise par le biais deBlackBerry Infrastructureet deBES12pour les terminauxiOSdotés du type d'activationContrôles MDM, vérifiez que votre entreprise dispose des licencesBES12appropriées. Pour plus d'informations,reportez-vous au contenu relatif aux licences. Sur la barre de menus, cliquez sur Stratégies et profils. 74 E-mail, Wi-Fi, VPN et autres connexions professionnelles 2. Cliquez sur en regard de Messagerie. 3. Saisissez le nom et la description du profil. 4. Si nécessaire, saisissez le nom de domaine du serveur de messagerie. Si le profil concerne plusieurs utilisateurs pouvant se trouver dans différents domaines Microsoft Active Directory, vous pouvez utiliser la variable %UserDomain%. 5. Dans le champ Adresse électronique, effectuez l'une des opérations suivantes : • Si le profil concerne un utilisateur, saisissez l'adresse électronique de l'utilisateur. • Si le profil concerne plusieurs utilisateurs, saisissez %UserEmailAddress%. 6. Saisissez le nom d'hôte ou l'adresse IP du serveur de messagerie. 7. Dans le champ Nom d'utilisateur, effectuez l'une des opérations suivantes : • Si le profil concerne un seul utilisateur, indiquez le nom d'utilisateur. • Si le profil concerne plusieurs utilisateurs, saisissez %UserName%. • Si le profil concerne plusieurs utilisateurs dans un environnement IBM Notes Traveler, saisissez %UserDisplayName%. 8. Si vous utilisez un contrôle d'accès automatique, cliquez sur Sélectionner les serveurs, sélectionnez les serveurs Microsoft Exchange qui conviennent dans la liste des serveurs disponibles, puis cliquez sur Enregistrer. 9. Cliquez sur l'onglet correspondant à chaque type de terminal de votre organisation et configurez les valeurs appropriées pour chaque paramètre de profil. Pour plus de détails sur chaque paramètre de profil, reportez-vous à la section Paramètres de profil de messagerie. 10. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Paramètres de profil de messagerie, à la page 287 Envoi de certificats aux terminaux à l'aide de profils, à la page 63 Créer un profil de messagerie IMAP/POP3 Les paramètres de profil requis varient pour chaque type de terminal et dépendent des paramètres que vous sélectionnez. Remarque: BES12 envoie le profil de messagerie aux terminaux Android, mais l'utilisateur doit configurer manuellement la connexion au serveur de messagerie. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur en regard de Messagerie IMAP/POP3. 75 E-mail, Wi-Fi, VPN et autres connexions professionnelles 3. Saisissez le nom et la description du profil. 4. Dans le champ Type de messagerie, sélectionnez le type de protocole de messagerie. 5. Dans le champ Adresse électronique, effectuez l'une des opérations suivantes : • Si le profil concerne un utilisateur, saisissez l'adresse électronique de l'utilisateur. • Si le profil concerne plusieurs utilisateurs, saisissez %UserEmailAddress%. 6. Dans la section Paramètres du courrier entrant, saisissez le nom d'hôte ou l'adresse IP du serveur de messagerie pour la réception du courrier. 7. Si nécessaire, saisissez le port pour la réception du courrier. 8. Dans le champ Nom d'utilisateur, effectuez l'une des opérations suivantes : 9. • Si le profil concerne un seul utilisateur, indiquez le nom d'utilisateur. • Si le profil concerne plusieurs utilisateurs, saisissez %UserName%. Dans la section Paramètres du courrier sortant, saisissez le nom d'hôte ou l'adresse IP du serveur de messagerie pour l'envoi du courrier. 10. Si nécessaire, saisissez le port pour l'envoi du courrier. 11. Si nécessaire, sélectionnez Authentification requise pour les e-mails sortants et spécifiez les informations d'identification utilisées pour l'envoi du courrier. 12. Cliquez sur l'onglet correspondant à chaque type de terminal de votre organisation et configurez les valeurs appropriées pour chaque paramètre de profil. Pour plus de détails sur chaque paramètre de profil, consultez Paramètres de profil de messagerie IMAP/POP3. 13. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Paramètres de profil de messagerie IMAP/POP3, à la page 312 Extension de la sécurité de la messagerie à l'aide de S/MIME Vous pouvez renforcer la sécurité de la messagerie des utilisateurs de terminaux BlackBerry 10, iOS et Android en activant S/ MIME. S/MIME propose une méthode standard de cryptage et de signature des e-mails. Les utilisateurs peuvent crypter, signer ou crypter et signer les e-mails à l'aide de la protection S/MIME s'ils utilisent un compte de messagerie professionnel prenant en charge les messages protégés par S/MIME sur les terminaux. S/MIME ne peut pas être activé pour les adresses électroniques personnelles. Les utilisateurs peuvent stocker les certificats S/MIME des destinataires sur leurs terminaux. Les utilisateurs peuvent stocker leurs clés privées sur leurs terminaux ou sur une carte à puce. 76 E-mail, Wi-Fi, VPN et autres connexions professionnelles Vous pouvez activer S/MIME pour les utilisateurs dans un profil de messagerie. Vous pouvez contraindre les utilisateurs de terminaux BlackBerry 10 à utiliser S/MIME, mais pas les utilisateurs de terminaux iOS ou Android. Lorsque l'utilisation de S/ MIME est facultative, un utilisateur peut activer S/MIME sur le terminal et choisir de crypter, signer ou crypter et crypter et signer les e-mails. Les paramètres S/MIME sont prioritaires sur les paramètres PGP. Lorsque la prise en charge S/MIME est définie sur Requise, les paramètres PGP sont ignorés. Pour plus d'informations sur S/MIME, reportez-vous au contenu relatif à la sécurité. Récupération des certificats S/MIME Vous pouvez utiliser les profils de récupération de certificat pour autoriser les terminaux à rechercher et récupérer les certificats S/MIME des destinataires à partir des serveurs de certificats LDAP. Si le certificat S/MIME ne figure pas déjà dans un magasin de certificats du terminal, le terminal le récupère et l'importe automatiquement dans le magasin de certificats. Type de terminal Description BlackBerry 10 Les terminaux recherchent chaque serveur de certificats LDAP que vous spécifiez dans le profil et récupèrent le certificat S/MIME. S'il existe plusieurs certificats S/ MIME et si un terminal n'est pas en mesure de déterminer celui qui a la préférence, le terminal affiche tous les certificats S/MIME pour permettre à l'utilisateur de faire son choix. Vous pouvez demander à ce que les terminaux utilisent l'authentification simple ou l'authentification Kerberos pour s'authentifier auprès des serveurs de certificats LDAP. Si vous souhaitez que les terminaux utilisent l'authentification simple, vous pouvez inclure les informations d'authentification requises dans des profils de récupération de certificat pour permettre aux terminaux de s'authentifier automatiquement auprès des serveurs de certificats LDAP. Si vous souhaitez que les terminaux utilisent l'authentification Kerberos, vous pouvez inclure les informations d'authentification requises dans des profils de récupération de certificat pour permettre aux terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure de s'authentifier automatiquement auprès des serveurs de certificats LDAP. Sinon, le terminal demande à l'utilisateur les informations d'authentification requises la première fois que le terminal tente de s'authentifier auprès d'un serveur de certificats LDAP. Pour les terminaux exécutant BlackBerry 10 OS versions 10.2.1 à 10.3, le terminal invite l'utilisateur à fournir les informations d'authentification requises la première fois que le terminal tente de s'authentifier auprès d'un serveur de certificats LDAP. Si vous mettez en œuvre l'authentification Kerberos pour l'extraction du certificat S/ MIME, vous devez attribuer un profil d'identification unique aux utilisateurs ou groupes d'utilisateurs applicables. Pour plus d'informations sur la création et l'attribution d'un profil d'identification unique, reportez-vous à Configuration de l'authentification avec identification unique pour les terminaux. 77 E-mail, Wi-Fi, VPN et autres connexions professionnelles Type de terminal Description iOS et Android Les terminaux recherchent le serveur de certificats LDAP que vous spécifiez dans le profil et récupèrent le certificat S/MIME. Les terminaux utilisent l'authentification par mot de passe pour s'authentifier auprès du serveur de certificats LDAP. Vous incluez le mot de passe requis dans le profil de récupération de certificat pour permettre aux terminaux de s'authentifier automatiquement auprès du serveur de certificats LDAP. Si vous ne créez pas de profil de récupération de certificat et ne l'attribuez pas aux comptes d'utilisateur, groupes d'utilisateurs ou de groupes de terminaux, les utilisateurs doivent manuellement importer les certificats S/MIME à partir d'une pièce jointe à un e-mail professionnel ou d'un ordinateur. Créer un profil de récupération de certificat Avant de commencer: • pour permettre aux terminaux d'approuver les serveurs de certificats LDAP lorsqu'ils établissent des connexions sécurisées, vous devrez peut-être distribuer les certificats d'autorité de certification aux terminaux. Si nécessaire, créez des profils de certificat d'autorité de certification et attribuez-les aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Pour plus d'informations sur les certificats CA, reportez-vous à Envoi de certificats CA à des terminaux. • Si vous mettez en œuvre l'authentification Kerberos pour l'extraction du certificat S/MIME, vous devez attribuer un profil d'identification unique aux utilisateurs ou groupes d'utilisateurs applicables. Pour plus d'informations sur les profils d'identification unique, reportez-vous à Configuration de l'authentification avec identification unique pour les terminaux. Pour obtenir un exemple de profil de récupération d'un certificat, rendez-vous sur http://support.blackberry.com/ pour lire l'article KB38249. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil de récupération de certificat. 4. Effectuez l'une des tâches suivantes : en regard de Récupération de certificat. Tâche Étapes Pour utiliser LDAP pour BlackBerry 10 1. Dans le tableau, cliquez sur 2. Dans le champ URL du service, saisissez le FQDN d'un serveur de certificats LDAP au format ldap://<fqdn>:<port>. (Par exemple, ldap:// serveur01.exemple.com:389). 78 . E-mail, Wi-Fi, VPN et autres connexions professionnelles Tâche Étapes 3. Dans le champ Base de recherche, saisissez le DN de base correspondant au point de départ des recherches effectuées sur le serveur de certificats LDAP. 4. Dans la liste déroulante Étendue de la recherche, effectuez l'une des opérations suivantes : 5. Pour utiliser LDAP pour les terminaux iOS et Android • Pour rechercher l'objet de base uniquement (DN de base), cliquez sur Base. Cette option correspond à la valeur par défaut. • Pour rechercher un niveau en-dessous de l'objet de base, mais pas l'objet de base lui-même, cliquez sur Un niveau. • Pour rechercher l'objet de base et tous les niveaux situés en-dessous, cliquez sur Sous-arborescence. • Pour rechercher tous les niveaux en-dessous de l'objet de base, mais pas l'objet de base lui-même, cliquez sur Enfants. Si une authentification est requise, procédez comme suit : a Dans la liste déroulante Type d'authentification, cliquez sur Simple ou Kerberos. b Dans le champ ID utilisateur LDAP, saisissez le DN d'un compte doté d'autorisations de recherche sur le serveur de certificats LDAP (par exemple, cn=admin,dc=exemple,dc=com). c Dans le champ Mot de passe LDAP, saisissez le mot de passe du compte doté des autorisations de recherche sur le serveur de certificats LDAP. 6. Si nécessaire, cochez la case Utiliser une connexion sécurisée. 7. Dans le champ Délai de connexion, saisissez le délai, en secondes, durant lequel le terminal attend la réponse du serveur de certificats LDAP. 8. Cliquez sur Ajouter. 9. Répétez les étapes 4.2 à 4.8 pour chaque serveur de certificats LDAP. 1. Sélectionnez Utiliser LDAP . 2. Dans le champ URL du service, saisissez le FQDN d'un serveur de certificats LDAP au format ldap://<fqdn>:<port>. (Par exemple, ldap:// serveur01.exemple.com:389). 3. Dans le champ DN de base, saisissez le DN racine dans le répertoire où le terminal effectue la recherche. (Par exemple, ou=utilisateurs,de=exemple,dc=com) 79 E-mail, Wi-Fi, VPN et autres connexions professionnelles Tâche Étapes Pour utiliser Exchange ActiveSync pour les terminaux iOS et Android 5. 4. Dans le champ DN de liaison, saisissez le DN d'un compte doté des autorisations de recherche sur le serveur de certificats LDAP. (Par exemple, cn=admin,dc=exemple,dc=com). 5. Dans le champ Mot de passe LDAP, saisissez le mot de passe du DN de liaison. 6. Si nécessaire, cochez la case Utiliser une connexion sécurisée. 1. Sélectionnez Utiliser Exchange ActiveSync. Cliquez sur Ajouter. À la fin: • Pour permettre aux terminaux BlackBerry 10 de vérifier l'état du certificat, créez un profil OCSP ou CRL. • Si nécessaire, classez les profils. Informations connexes Créer un profil OCSP, à la page 81 Créer un profil CRL, à la page 81 Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Identification de l'état des certificats S/MIME sur les terminaux Vous pouvez utiliser des profils OCSP et CRL pour permettre aux terminaux BlackBerry 10 de vérifier l'état des certificats S/ MIME. Vous pouvez attribuer un profil OCSP et un profil CRL à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Les terminaux BlackBerry 10 recherchent chaque répondeur OCSP que vous spécifiez dans un profil OCSP et récupère l'état des certificats S/MIME. Les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure peuvent envoyer des demandes d'état de certificat à BES12, et vous pouvez utiliser des profils CRL pour configurer BES12 afin de rechercher l'état des certificats S/MIME via HTTP, HTTPS ou LDAP. Si vous utilisez Exchange ActiveSync pour obtenir des certificats, les terminaux iOS et Android utilisent Exchange ActiveSync pour vérifier l'état de certificats S/MIME. Si vous utilisez LDAP pour obtenir des certificats, les terminaux iOS et Android utilisent OCSP pour vérifier l'état de certificats.Les terminaux Android et iOS n'utilisent pas de profils OCSP. Les terminaux vérifient le répondeur OCSP du certificat. Pour plus d'informations sur les indicateurs d'état de certificat, consultez le guide de l'utilisateur du terminal et consultez la section relative aux icônes d'e-mails sécurisés. 80 E-mail, Wi-Fi, VPN et autres connexions professionnelles Créer un profil OCSP 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil OCSP. 4. Procédez comme suit : en regard de OCSP. a. Dans le tableau, cliquez sur b. Dans le champ URL du service, saisissez l'adresse Web d'un répondeur OCSP. c. Dans le champ Délai de connexion, saisissez le délai, en secondes, durant lequel le terminal attend la réponse OCSP. d. Cliquez sur Ajouter. . 5. Répétez l'étape 4 pour chaque répondeur OCSP. 6. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Créer un profil CRL 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil CRL. 4. Pour permettre aux terminaux d'utiliser les URL définies dans le certificat, cochez la case Utiliser des répondeurs d'extension de certificat. 5. Effectuez l'une des tâches suivantes : en regard de CRL. Tâche Étapes Spécifier une configuration HTTP CRL 1. Dans la section HTTP pour CRL, cliquez sur 2. Saisissez le nom et la description de la configuration HTTP CRL. 3. Dans le champ URL du service, saisissez l'adresse Web d'un répondeur HTTP ou HTTPS. 4. Cliquez sur Ajouter. 81 . E-mail, Wi-Fi, VPN et autres connexions professionnelles Tâche Spécifier une configuration LDAP CRL 6. Étapes 5. Répétez les étapes 1 à 4 pour chaque serveur HTTP ou HTTPS. 1. Dans la section LDAP pour CRL, cliquez sur 2. Saisissez le nom et la description de la configuration LDAP CRL. 3. Dans le champ URL du service, saisissez le FQDN d'un serveur LDAP au format ldap://<fqdn>:<port> (par exemple, ldap://server01,exemple.com: 389). Pour les connexions sécurisées, utilisez le format ldaps:// <fqdn>:<port>. 4. Dans le champ Base de recherche, saisissez le DN de base correspondant au point de départ des recherches effectuées sur le serveur LDAP. 5. Si nécessaire, cochez la case Utiliser une connexion sécurisée. 6. Dans le champ ID utilisateur LDAP, saisissez le DN d'un compte doté d'autorisations de recherche sur le serveur LDAP (par exemple, cn=admin,dc=example,dc=com). 7. Dans le champ Mot de passe LDAP, saisissez le mot de passe du compte doté des autorisations de recherche sur le serveur LDAP. 8. Cliquez sur Ajouter. 9. Répétez les étapes 1 à 8 pour chaque serveur LDAP. . Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Extension de la sécurité de la messagerie avec PGP Pour les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure, vous pouvez étendre la sécurité de la messagerie des utilisateurs de terminaux en activant PGP. PGP protège les e-mails des terminaux utilisant le format OpenPGP. Les utilisateurs peuvent signer, crypter ou signer et crypter des e-mails avec la protection PGP lorsqu'ils utilisent une adresse électronique professionnelle. PGP ne peut pas être activé pour les adresses électroniques personnelles. Vous pouvez activer PGP pour les utilisateurs dans un profil de messagerie. Vous pouvez contraindre les utilisateurs de terminaux BlackBerry 10 à utiliser PGP, interdire l'utilisation de PGP ou la rendre facultative. Lorsque l'utilisation de PGP est facultative (paramètre par défaut), un utilisateur peut activer PGP sur le terminal et choisir de crypter, signer ou crypter et crypter et signer les e-mails. 82 E-mail, Wi-Fi, VPN et autres connexions professionnelles Pour signer et crypter les e-mails, les utilisateurs doivent disposer des clés PGP pour chaque destinataire sur leurs terminaux. Les utilisateurs peuvent stocker les clés PGP en important des fichiers depuis un e-mail professionnel. Vous pouvez configurer PGP à l'aide des paramètres de profil de messagerie qui conviennent. Pour plus d'informations sur PGP, reportez-vous au contenu relatif à la sécurité. Informations connexes BlackBerry 10 : paramètres de profil de messagerie, à la page 288 Application des e-mails sécurisés à l'aide de la classification de messages La classification de messages permet à votre organisation de spécifier et d'appliquer des stratégies de sécurité des e-mails et d'ajouter des marques visuelles à des e-mails sur des terminaux BlackBerry 10. Vous pouvez utiliser BES12 pour fournir aux utilisateurs de terminaux BlackBerry 10 des options de classification de messages similaires à celles que vous avez mises à leur disposition pour les applications de messagerie de leur ordinateur. Vous pouvez définir les règles suivantes pour qu'elles s'appliquent aux messages sortants, en fonction des classifications des messages : • Ajouter une étiquette pour identifier la classification de message (par exemple : confidentiel) • Ajouter un marqueur visuel à la fin de la ligne d'objet (par exemple : [C]) • Ajouter du texte au début ou à la fin du corps d'un e-mail (par exemple : ce message a été classé comme confidentiel) • Définir des options S/MIME ou PGP (par exemple : signer et crypter) • Définir une classification par défaut Pour les terminaux qui exécutent BlackBerry 10 OS version 10.3.1 ou ultérieure, vous pouvez utiliser la classification de messages pour exiger que les utilisateurs signent, cryptent ou signent et cryptent les e-mails, ou qu'ils ajoutent des marques visuelles aux e-mails qu'ils envoient de leurs terminaux. Vous pouvez utiliser des profils de messagerie pour les fichiers de configuration de classification de messages (avec extensions de noms de fichiers .json) à envoyer aux terminaux des utilisateurs. Lorsque les utilisateurs répondent à des e-mails avec classification de messages ou rédigent des e-mails sécurisés, la configuration de classification de messages détermine les règles de classification que les terminaux doivent appliquer aux messages sortants. Les options de protection des messages sur un terminal sont limitées aux types de cryptage et de signature numérique autorisés sur le terminal. Lorsqu'un utilisateur applique une classification de messages à un e-mail sur un terminal, il doit sélectionner l'un des types de protection de message autorisés par cette classification ou accepter le type de protection de message par défaut. Si un utilisateur sélectionne une classification de messages nécessitant la signature, le cryptage ou la signature et le cryptage de l'e-mail et si le terminal ne dispose pas d'une configuration S/MIME ou PGP, l'utilisateur ne peut pas envoyer l'e-mail. Les paramètres S/MIME et PGP sont prioritaires sur la classification de messages. Les utilisateurs peuvent augmenter, mais pas diminuer, les niveaux de classification de messages sur leurs terminaux. Les niveaux de classification de messages sont déterminés par les règles d'e-mails sécurisés de chaque classification. Lorsque la classification de messages est activée, les utilisateurs ne peuvent pas utiliser BlackBerry Assistant pour envoyer des e-mails à partir de leurs terminaux. 83 E-mail, Wi-Fi, VPN et autres connexions professionnelles Vous pouvez configurer la classification de messages à l'aide des paramètres de profil de messagerie qui conviennent. Pour plus d'informations sur la création de fichiers de configuration de classification de messages, rendez-vous sur support.blackberry.com/kb et consultez l'article KB36736. Création de profils proxy pour les terminaux Vous pouvez spécifier la manière dont les terminaux utilisent un serveur proxy pour accéder à des services Web sur Internet ou un réseau professionnel. Pour les terminaux BlackBerry 10, iOS, OS X et Android, vous devez créer un profil de proxy. Pour les terminaux Windows 10, vous devez ajouter les paramètres de proxy dans Wi-Fi ou dans le profil VPN. Sauf note contraire, les profils proxy prennent en charge les serveurs proxy utilisant l'authentification de base ou aucune authentification. Terminal Configuration du proxy BlackBerry 10 Créez un profil proxy et associez-le aux profils utilisés par votre entreprise, notamment : iOS • Wi-Fi • VPN • Connectivité d'entreprise Créez un profil proxy et associez-le aux profils utilisés par votre entreprise, notamment : • Wi-Fi • VPN Vous pouvez attribuer un profil proxy à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Remarque: Un profil proxy attribué à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux est un proxy global réservé aux terminaux supervisés et prioritaire sur un profil proxy associé à un profil Wi-Fi ou VPN. Les terminaux supervisés utilisent les paramètres proxy globaux pour toutes les connexions HTTP. OS X Créez un profil proxy et associez-le à un profil Wi-Fi ou VPN. OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils de proxy sont appliqués aux terminaux. Android for Work Créez un profil proxy et associez-le à un profil Wi-Fi. Samsung KNOX Créer un profil proxy et associez-le avec les profils que votre entreprise utilise. Les conditions suivantes s'appliquent : 84 E-mail, Wi-Fi, VPN et autres connexions professionnelles Terminal Configuration du proxy • Pour les profils Wi-Fi, seuls les profils de proxy possédant une configuration manuelle sont pris en charge sur les terminaux KNOX. Les profils proxy que vous associez aux profils Wi-Fi prennent en charge les serveurs proxy utilisant l'authentification de base, NTML ou aucune authentification. • Pour les profils VPN et de connectivité d'entreprise, les profils proxy avec une configuration manuelle sont pris en charge sur les terminaux Samsung KNOX Workspace qui utilisent KNOX 2.5 et versions ultérieures. Les profils proxy avec configuration PAC sont pris en charge sur les terminaux KNOX Workspace qui utilisent une version deKNOX ultérieure à la version 2.5. Remarque: Si vous souhaitez utiliser un proxy profil avec un profil de connectivité d'entreprise,BlackBerry Secure Connect Plusdoit être activé. Vous pouvez attribuer un profil proxy à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Les conditions suivantes s'appliquent : • Sur les terminaux KNOX Workspace, le profil configure les paramètres de proxy du navigateur de l'espace Travail. • Sur les terminaux Samsung KNOX MDM, le profil configure les paramètres de proxy du navigateur sur le terminal. Remarque: la configuration du CCP n'est pas prise en charge sur les terminaux KNOX Workspace qui utilisent KNOX 2.5 et versions antérieures et les terminaux KNOX MDM. Windows 10 Créez un profil Wi-Fi ou VPN et spécifiez les informations du serveur proxy dans les paramètres du profil. Les conditions suivantes s'appliquent : • Le proxy Wi-Fi prend en charge uniquement la configuration manuelle et est pris en charge uniquement sur les terminaux Windows 10 Mobile. • Le proxy VPN prend en charge la configuration PARC ou manuelle. Créer un profil proxy Si votre organisation utilise un fichier PAC pour définir des règles proxy, vous pouvez sélectionner la configuration PAC pour utiliser les paramètres du serveur proxy depuis le fichier PAC que vous spécifiez. Sinon, vous pouvez sélectionner la configuration manuelle et spécifier les paramètres du serveur proxy directement dans le profil. Pour obtenir un exemple d'un profil de proxy, rendez-vous sur http://support.blackberry.com/ pour lire l'article KB38250. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil proxy. en regard de Proxy. 85 E-mail, Wi-Fi, VPN et autres connexions professionnelles 4. Cliquez sur l'onglet correspondant à un type de terminal. 5. Effectuez l'une des tâches suivantes : Tâche Étapes Spécifier les paramètres de configuration PAC 1. Dans la liste déroulante Type, vérifiez que le paramètre Configuration PAC est sélectionné. 2. Dans le champ URL du fichier PAC, saisissez l'URL du serveur Web hébergeant le fichier PAC et indiquez le nom du fichier PAC (par exemple, http://www.exemple.com/PACfile.pac). 3. Dans l'onglet BlackBerry, procédez comme suit : a Si votre organisation requiert que les utilisateurs fournissent un nom d'utilisateur et un mot de passe pour se connecter au serveur proxy et que le profil correspond à plusieurs utilisateurs, dans le champ Nom d'utilisateur, saisissez %UserName%. Si le serveur proxy requiert le nom de domaine pour l'authentification, utilisez le format <domain>\<username>. b Dans la liste déroulante Modifiable par l'utilisateur, cliquez sur les paramètres proxy que les utilisateurs de terminaux BlackBerry 10 peuvent modifier. La valeur par défaut est Lecture seule. Définir les paramètres de configuration 1. manuelle 2. Dans la liste déroulante Type, cliquez sur Configuration manuelle. 3. Dans le champ Port, saisissez le numéro de port du serveur proxy. 4. Si votre organisation requiert que les utilisateurs fournissent un nom d'utilisateur et un mot de passe pour se connecter au serveur proxy et que le profil correspond à plusieurs utilisateurs, dans le champ Nom d'utilisateur, saisissez %UserName%. Si le serveur proxy requiert le nom de domaine pour l'authentification, utilisez le format <domain> \<username>. 5. Dans l'onglet BlackBerry, procédez comme suit : Dans le champ Hôte, saisissez le FQDN ou l'adresse IP du serveur proxy. a Dans la liste déroulante Modifiable par l'utilisateur, cliquez sur les paramètres proxy que les utilisateurs de terminaux BlackBerry 10 peuvent modifier. La valeur par défaut est Lecture seule. b Vous pouvez également spécifier une liste d'adresses auxquelles les utilisateurs peuvent directement accéder à partir de leurs terminaux BlackBerry 10, sans utiliser le serveur proxy. Dans le champ Liste d'exclusion, saisissez les adresses (FQDN ou IP) et utilisez un pointvirgule (;) pour séparer les valeurs de la liste. Vous pouvez utiliser le 86 E-mail, Wi-Fi, VPN et autres connexions professionnelles Tâche Étapes caractère générique (*) dans un nom FQDN ou IP (par exemple, *.exemple.com ou 192.0.2.*). 6. Répétez les étapes 4 et 5 pour chaque type de terminal de votre organisation. 7. Cliquez sur Ajouter. À la fin: • Associez le profil proxy à un profil Wi-Fi, VPN ou de connectivité d'entreprise. • Si nécessaire, classez les profils. Le classement que vous spécifiez s'applique uniquement si vous attribuez un profil proxy à des groupes d'utilisateurs ou à des groupes de terminaux. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Configuration de réseaux Wi-Fi professionnels pour les terminaux Vous pouvez utiliser un profil Wi-Fi pour spécifier la manière dont les terminaux se connectent à un réseau Wi-Fi professionnel derrière le pare-feu. Vous pouvez attribuer un profil Wi-Fi à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Terminal Applications et connexions réseau BlackBerry 10 Par défaut, les applications professionnelles et personnelles peuvent utiliser les profils Wi-Fi stockés sur le terminal pour se connecter au réseau de votre organisation. Si les normes de sécurité de votre organisation n'autorisent pas les applications personnelles à accéder au réseau de votre organisation, vous pouvez limiter les options de connexion. iOS Les applications suivantes peuvent utiliser les profils Wi-Fi stockés sur le terminal pour se connecter au réseau de votre organisation : OS X • Applications professionnelles et personnelles • Applications sécurisées (sur les terminaux Secure Work Space) Les applications professionnelles et personnelles peuvent utiliser les profils Wi-Fi stockés sur le terminal pour se connecter au réseau de votre organisation. 87 E-mail, Wi-Fi, VPN et autres connexions professionnelles Terminal Applications et connexions réseau Android Les applications suivantes peuvent utiliser les profils Wi-Fi stockés sur le terminal pour se connecter au réseau de votre organisation : Windows • Applications professionnelles et personnelles • Applications sécurisées (sur les terminaux Secure Work Space) Les applications professionnelles et personnelles peuvent utiliser les profils Wi-Fi stockés sur le terminal pour se connecter au réseau de votre organisation. Créer un profil Wi-Fi Les paramètres de profil requis varient pour chaque type de terminal et dépendent du type de sécurité Wi-Fi et du protocole d'authentification que vous sélectionnez. Avant de commencer: • Si les terminaux utilisent l'authentification basée sur des certificats pour les connexions Wi-Fi professionnelles, créez un profil de certificat d'autorité de certification et attribuez-le aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Pour envoyer les certificats client aux terminaux, créez un profil SCEP, un profil de certificat partagé ou un profil d'informations d'identification de l'utilisateur à associer au profil Wi-Fi. • Pour les terminaux BlackBerry 10, iOS, OS X, Android for Work ou Samsung KNOX qui utilisent un serveur proxy pour les connexions Wi-Fi professionnelles, créez un profil proxy à associer au profil Wi-Fi. • Si les terminaux BlackBerry 10 utilisent un réseau VPN pour les connexions Wi-Fi professionnelles, créez un profil VPN à associer au profil Wi-Fi. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Tapez le nom et la description du profil Wi-Fi. Cette information s'affiche sur les terminaux. 4. Dans le champ SSID, saisissez le nom de réseau d'un réseau Wi-Fi. 5. Si le réseau Wi-Fi ne diffuse pas le SSID, cochez la case Réseau masqué. 6. Vous pouvez également décocher la case correspondant aux types de terminaux pour lesquels vous ne souhaitez pas configurer le profil. 7. Procédez comme suit : en regard de Wi-Fi. a. Cliquez sur l'onglet correspondant à un type de terminal. b. Configurez les valeurs qui conviennent pour chaque paramètre de profil afin qu'elles correspondent à la configuration Wi-Fi dans l'environnement de votre organisation. Si votre organisation requiert que les utilisateurs fournissent un nom d'utilisateur et un mot de passe pour se connecter au réseau Wi-Fi et que le profil correspond à plusieurs utilisateurs, dans le champ Nom d'utilisateur, saisissez %UserName%. 88 E-mail, Wi-Fi, VPN et autres connexions professionnelles Pour plus de détails sur chaque paramètre de profil, reportez-vous à la section Paramètres du profil Wi-Fi . 8. Répétez l'étape 7 pour chaque type de terminal de votre organisation. 9. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Envoi de certificats aux terminaux à l'aide de profils, à la page 63 Paramètres du profil Wi-Fi, à la page 336 Configuration de réseaux VPN professionnels pour les terminaux Vous pouvez utiliser un profil VPN pour spécifier la manière dont les terminaux BlackBerry 10, iOS, OS X, Samsung KNOX Workspace et Windows 10 se connectent à un VPN professionnel. Vous pouvez attribuer un profil VPN à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Pour les terminaux BlackBerry 10, vous pouvez également associer un profil VPN au profil Wi-Fi. Pour se connecter à un VPN professionnel, les utilisateurs de terminaux Android et Windows Phone doivent configurer manuellement les paramètres VPN de leurs terminaux. Terminal Applications et connexions réseau BlackBerry 10 • Par défaut, les applications professionnelles et personnelles peuvent utiliser les profils VPN stockés sur le terminal pour se connecter au réseau de votre organisation. Si les normes de sécurité de votre organisation n'autorisent pas les applications personnelles à accéder au réseau de votre organisation, vous pouvez limiter les options de connexion. iOS • Les applications professionnelles et personnelles peuvent utiliser les profils VPN stockés sur le terminal pour se connecter au réseau de votre organisation. Vous pouvez activer un VPN par application pour un profil VPN afin de limiter ce dernier aux applications professionnelles que vous spécifiez. OS X • Vous pouvez configurer des profils VPN pour permettre aux applications de se connecter au réseau de votre organisation. KNOX Workspace • Les applications professionnelles peuvent utiliser les profils VPN stockés sur le terminal pour se connecter au réseau de votre organisation. • Une application client VPN prise en charge doit être installée sur le terminal. Cisco AnyConnect et Juniper sont pris en charge. 89 E-mail, Wi-Fi, VPN et autres connexions professionnelles Terminal Applications et connexions réseau Remarque: L'application Juniper prend uniquement en charge SSL VPN. Windows 10 • Vous pouvez configurer des profils VPN pour permettre aux applications de se connecter au réseau de votre organisation. Dans le profil VPN, vous pouvez spécifier une liste d'applications que le VPN doit utiliser. Créer un profil VPN Les paramètres de profil requis varient pour chaque type de terminal et dépendent du type de connexion VPN et du type d'authentification que vous sélectionnez. Remarque: certains terminaux peuvent ne pas être en mesure de stocker le mot de passe xAuth. Pour plus d'informations, rendez-vous sur le site support.blackberry.com/kb pour lire l'article KB30353. Avant de commencer: • Si les terminaux utilisent l'authentification basée sur des certificats pour les connexions VPN, créez un profil de certificat d'autorité de certification et attribuez-le aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Pour envoyer les certificats client aux terminaux, créez un profil SCEP, un profil de certificat partagé ou un profil d'informations d'identification de l'utilisateur à associer au profil VPN. • Pour les terminaux BlackBerry 10, iOS, OS X et Samsung KNOX Workspace qui utilisant un serveur proxy, créez un profil proxy à associer au profil VPN. (Le serveur proxy pour les terminaux Windows 10 est configuré dans le profil VPN.) • Pour les terminaux KNOX Workspace, ajoutez l'application client VPN qui convient à la liste des applications et attribuez-la aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Les applications client VPN prises en charge sont Cisco AnyConnect et Juniper. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Tapez le nom et la description du VPN. Cette information s'affiche sur les terminaux. 4. Vous pouvez également décocher la case correspondant aux types de terminaux pour lesquels vous ne souhaitez pas configurer le profil. 5. Procédez comme suit : en regard de VPN. a. Cliquez sur l'onglet correspondant à un type de terminal. b. Configurez les valeurs qui conviennent pour chaque paramètre de profil afin qu'elles correspondent à la configuration VPN dans l'environnement de votre organisation. Si votre organisation requiert que les utilisateurs fournissent un nom d'utilisateur et un mot de passe pour se connecter au réseau VPN et que le profil correspond à plusieurs utilisateurs, dans le champ Nom d'utilisateur, saisissez %UserName%. 90 E-mail, Wi-Fi, VPN et autres connexions professionnelles Pour plus de détails sur chaque paramètre de profil, reportez-vous à la section Paramètres du profil VPN. 6. Répétez l'étape 5 pour chaque type de terminal de votre organisation. 7. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Envoi de certificats aux terminaux à l'aide de profils, à la page 63 Paramètres du profil VPN, à la page 358 Activation d'un VPN à la demande pour les terminaux iOS ou OS X Le VPN à la demande vous permet de spécifier si un terminal iOS ou OS X se connecte automatiquement à un VPN dans un domaine particulier. Les certificats client assurent l'authentification du terminal de l'utilisateur lors de l'accès au domaine particulier. Par exemple, vous pouvez spécifier le domaine de votre organisation pour permettre aux utilisateurs d'accéder au contenu de votre intranet à l'aide d'un VPN à la demande. Activation d'un VPN par application Pour les terminaux iOS et Windows 10, vous pouvez utiliser un VPN par application afin de spécifier les applications professionnelles et sécurisées qui doivent utiliser un VPN pour leurs données en transit. Un VPN par application permet de diminuer la charge du VPN de votre organisation en limitant son utilisation à certaines charges du trafic professionnel (l'accès aux serveurs d'applications ou aux pages Web derrière le pare-feu, par exemple). Cette fonction prend également en charge la confidentialité de l'utilisateur et augmente la vitesse de connexion des applications personnelles en n'acheminant pas le trafic personnel via le VPN. Pour les terminaux iOS, les applications sont associées à un profil VPN lorsque vous attribuez l'application ou le groupe d'applications à un utilisateur, un groupe d'utilisateurs ou un groupe de terminaux. Pour les terminaux Windows 10, les applications sont ajoutées à la liste de déclenchement d'applications dans le profil VPN. Comment BES12 choisit les paramètres VPN à attribuer par application Un seul profil VPN peut être attribué à une application ou à un groupe d'applications. BES12 utilise les règles suivantes pour déterminer les paramètres VPN d'application à attribuer à une application sur les terminaux iOS : • Les paramètres VPN d'application directement associés à une application sont prioritaires sur les paramètres VPN d'application indirectement associés via un groupe d'applications. • Les paramètres VPN d'application directement associés à un utilisateur sont prioritaires sur les paramètres VPN d'application indirectement associés via un groupe d'utilisateurs. 91 E-mail, Wi-Fi, VPN et autres connexions professionnelles • Les paramètres VPN d'application attribués à une application requise sont prioritaires sur les paramètres VPN d'application attribués à une instance facultative de la même application. • Les paramètres VPN d'application associés au nom du groupe d'utilisateurs qui apparait en premier dans la liste alphabétique sont prioritaires si les conditions suivantes sont remplies : ◦ Une application est attribuée à plusieurs groupes d'utilisateurs ◦ La même application apparait dans les groupes d'utilisateurs ◦ L'application est attribuée de la même manière, en tant qu'application seule ou groupe d'applications ◦ L'application a la même disposition dans toutes les attributions (obligatoire ou facultative) Par exemple, vous attribuez Cisco WebEx Meetings en tant qu'application facultative aux groupes d'utilisateurs Développement et Marketing. Lorsqu'un utilisateur est dans les deux groupes, les paramètres VPN d'application du groupe Développement sont appliqués à l'application WebEx Meetings pour cet utilisateur. Si un profil VPN d'application est attribué à un groupe de terminaux, il est prioritaire sur le profil VPN d'application qui est attribué au compte d'utilisateur des terminaux qui appartiennent au groupe de terminaux. Configuration de la connectivité d'entreprise pour les terminaux Vous pouvez utiliser un profil de connectivité d'entreprise pour activer BlackBerry Secure Connect Plus pour les terminaux BlackBerry 10, Samsung KNOX Workspace et Android for Work et les terminaux iOS dotés d'activations Contrôles MDM. Pour plus d'informations, reportez-vous à Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles. Configuration de l'authentification avec identification unique pour les terminaux Le profil d'identification unique vous permet d'activer les terminaux BlackBerry 10 ainsi que certains terminaux iOS à des fins d'authentification automatique auprès de domaines et services Web de votre réseau d'entreprise. Une fois le profil d'identification unique attribué, l'utilisateur est invité à saisir un nom d'utilisateur et un mot de passe la première fois qu'il tente d'accéder au domaine que vous avez spécifié. Les informations de connexion sont enregistrées sur le terminal de l'utilisateur et automatiquement utilisées lorsqu'il tente d'accéder à l'un des domaines sécurisés spécifiés dans le profil. Si l'utilisateur change de mot de passe, celui-ci lui est demandé lorsqu'il tente à nouveau d'accéder à un domaine sécurisé. Vous pouvez également utiliser un profil d'identification unique pour spécifier les domaines approuvés pour les certificats que vous envoyez aux terminaux BlackBerry 10 à l'aide d'un profil SCEP. Une fois les domaines approuvés spécifiés, les utilisateurs BlackBerry 10 peuvent sélectionner les certificats requis lorsqu'ils accèdent à un domaine approuvé. 92 E-mail, Wi-Fi, VPN et autres connexions professionnelles Les profils d'identification unique prennent en charge les types d'authentification suivants : Type d'authentification • Kerberos • NTLM • Spécifier les domaines approuvés pour les certificats SCEP OS du terminal S'applique à iOS • Navigateur et applications • Pour limiter les applications pouvant utiliser le profil BlackBerry 10 OS • Navigateur et applications de l'espace Travail BlackBerry 10 OS • Navigateur et applications de l'espace Travail Conditions préalables : utilisation de l'authentification Kerberos pour les terminaux Pour les terminaux qui utilisent Kerberos, si un TGT valide est disponible, les utilisateurs ne sont pas invités à saisir leurs informations de connexion s'ils accèdent aux ressources internes de votre entreprise à partir du navigateur et des applications de l'espace Travail. Pour configurer l'authentification Kerberos pour des domaines spécifiques, vous pouvez télécharger le fichier de configuration Kerberos de votre organisation (krb5.conf). BES12 prend en charge l'implémentation Heimdal de Kerberos. Vérifiez que le fichier de configuration répond aux exigences suivantes : • La configuration Kerberos utiliser le protocole TCP par défaut au lieu du protocole UDP. Utilisez le préfixe tcp/ pour les hôtes KDC. • Si votre organisation utilise un réseau VPN, la passerelle VPN doit autoriser le trafic vers les KDC. Authentification basée sur des certificats pour iOS 8 ou version ultérieure Pour les terminaux exécutant iOS 8.0 ou version ultérieure, vous pouvez utiliser les certificats pour authentifier les terminaux iOS auprès des domaines et services Web du réseau de votre organisation. Vous pouvez ajouter un profil de certificat partagé, un profil SCEP ou un profil d'informations d'identification de l'utilisateur existant à un profil d'identification unique. Lorsque le navigateur ou les applications des terminaux iOS utilisent une identification unique basée sur des certificats, les utilisateurs sont automatiquement authentifiés (sous réserve de validité du certificat) et n'ont pas à entrer d'informations de connexion pour accéder aux domaines sécurisés que vous avez spécifiés. Informations connexes 93 E-mail, Wi-Fi, VPN et autres connexions professionnelles Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux, à la page 66 Envoi du même certificat client à plusieurs terminaux, à la page 69 Utilisation de profils d'informations d'identification de l'utilisateur pour envoyer des certificats aux terminaux, à la page 67 Créer un profil d'identification unique Avant de commencer: • Si vous souhaitez configurer l'authentification Kerberos pour les terminaux BlackBerry 10, localisez le fichier de configuration Kerberos de votre organisation (krb5.conf). • Si vous souhaitez utiliser l'authentification basée sur des certificats pour les terminaux exécutant iOS 8.0 ou version ultérieure, créez le profil de certificat partagé ou le profil SCEP nécessaire. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. 4. Effectuez l'une des tâches suivantes : en regard d'Identification unique. Tâche Étapes Configurer l'authentification Kerberos pour les terminaux iOS 1. Cliquez sur l'onglet iOS. 2. Sous Kerberos, cliquez sur 3. Dans le champ Nom, saisissez le nom de la configuration. 4. Dans le champ Nom principal, saisissez le nom de l'instance principale de Kerberos au format <primary>/<instance>@<realm> (par exemple, user/ [email protected]). 5. Dans le champ Domaine, saisissez le domaine Kerberos en majuscules (par exemple, EXEMPLE.COM). 6. Dans le champ Préfixe d'URL, saisissez le préfixe des URL pour les sites auprès desquels vous souhaitez que les terminaux s'authentifient. Le préfixe doit commencer par http:// ou https:// et peut inclure des caractères génériques (*) (par exemple, https://www.blackberry.exemple.com/*). 7. Pour spécifier davantage de préfixes d'URL, cliquez sur champs. 8. Pour limiter la configuration à des applications spécifiques, cliquez sur en regard d'Identificateurs d’applications. Saisissez l'ID d'offre d'application. Vous pouvez utiliser un caractère générique (*) pour mettre en correspondance l'ID avec plusieurs applications. (par exemple, com.company.*). 94 . afin d'ajouter plus de E-mail, Wi-Fi, VPN et autres connexions professionnelles Tâche Étapes 9. Pour spécifier davantage d'identifiants d'application, cliquez sur d'ajouter plus de champs. afin 10. Si vous souhaitez que les terminaux exécutant iOS 8.0 ou version ultérieure utilisent l'authentification basée sur des certificats, dans la liste déroulante Informations d'identification, cliquez sur Certificat, SCEP ou Informations d'identification de l'utilisateur. Dans la liste déroulante des certificats, cliquez sur le profil de certificat que vous souhaitez utiliser. 11. Cliquez sur Ajouter. 12. Si nécessaire, répétez les étapes 2 à 11 pour ajouter une autre configuration Kerberos. Configurer l'authentification Kerberos pour les terminaux BlackBerry 10 Configurer l'authentification NTLM ou les domaines approuvés pour les certificats SCEP des terminaux BlackBerry 10 5. 1. Cliquez sur l'onglet BlackBerry. 2. Cliquez sur Parcourir. Accédez au fichier de configuration Kerberos de votre organisation et sélectionnez-le (krb5.conf). 1. Cliquez sur l'onglet BlackBerry. 2. Sous Domaines approuvés, cliquez sur 3. Dans le champ Nom, saisissez le nom de la configuration. 4. Dans le champ Domaine, saisissez un sous-domaine approuvé ou un hôte individuel où les informations d'identification pourront être utilisées à des fins d'authentification automatique. Saisissez le nom du serveur en tant que FQDN, nom d'hôte, alias ou adresse IP. Les noms DNS peuvent contenir des caractères génériques (*). 5. Pour spécifier davantage de sous-domaines, cliquez sur de champs. 6. Cliquez sur Ajouter. 7. Si nécessaire, répétez les étapes 2 à 6 pour ajouter un autre domaine approuvé. . Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Utilisation d'un profil SCEP pour envoyer des certificats client sur des terminaux, à la page 66 Envoi du même certificat client à plusieurs terminaux, à la page 69 95 afin d'ajouter plus E-mail, Wi-Fi, VPN et autres connexions professionnelles Configuration des profilsCardDAVetCalDAVpour les terminauxiOS etOS X devices Vous pouvez utiliser les profilsCardDAVetCalDAVpour permettre aux terminauxiOS etOS X d'accéder aux informations de contact et de calendrier sur un serveur distant. Vous pouvez attribuer des profilsCardDAVetCalDAVà des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Plusieurs terminaux peuvent accéder à la même information. OS X applique des profils à des comptes d'utilisateurs ou terminaux. Les profils CardDAV et CalDAV sont appliqués aux comptes d'utilisateurs. Créer un profil CardDAV Avant de commencer: • Vérifiez que le terminal peut accéder à un serveur CardDAV actif. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. 4. Tapez l'adresse du serveur pour le profil. C'est le FQDN de l'ordinateur qui héberge l'application Calendrier. 5. Dans le champ Nom d'utilisateur, effectuez l'une des opérations suivantes : en regard du profil CardDAV. • Si le profil concerne un seul utilisateur, indiquez le nom d'utilisateur. • Si le profil concerne plusieurs utilisateurs, saisissez %UserName%. 6. Si nécessaire, entrez le port utilisé pour le serveur CardDAV. 7. Si nécessaire, sélectionnez la case Utiliser SSL et entrez l'URL du serveur SSL. 8. Cliquez sur Ajouter. À la fin: attribuez le profil aux utilisateurs, aux groupes d'utilisateurs ou aux groupes de terminaux. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Créer un profil CalDAV Avant de commencer: • Vérifiez que le terminal peut accéder à un serveur CalDAV actif. 96 E-mail, Wi-Fi, VPN et autres connexions professionnelles 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. 4. Tapez l'adresse du serveur pour le profil. C'est le FQDN de l'ordinateur qui héberge l'application Calendrier. 5. Dans le champ Nom d'utilisateur, effectuez l'une des opérations suivantes : en regard du profil CalDAV. • Si le profil concerne un seul utilisateur, indiquez le nom d'utilisateur. • Si le profil concerne plusieurs utilisateurs, saisissez %UserName%. 6. Si nécessaire, entrez le port utilisé pour le serveur CalDAV. 7. Si nécessaire, sélectionnez la case Utiliser SSL et entrez l'URL du serveur SSL. 8. Cliquez sur Ajouter. À la fin: Attribuez le profil aux utilisateurs, aux groupes d'utilisateurs ou aux groupes de terminaux. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Configuration de la fonction Enterprise Data Protection pour les terminaux Windows 10 Vous pouvez configurer la fonction Enterprise Data Protection (EDP, protection des données d'entreprise) pour les terminaux Windows 10 lorsque vous souhaitez effectuer les opérations suivantes : • Séparer les données personnelles et professionnelles sur les terminaux et être en mesure d'effacer uniquement les données professionnelles • Empêcher les utilisateurs de partager les données professionnelles en dehors des applications professionnelles protégées ou avec des personnes extérieures à votre organisation • Protéger les données même si elles sont déplacées ou partagées sur d'autres terminaux, tels qu'une clé USB • Surveiller le comportement de l'utilisateur et prendre les mesures appropriées pour éviter toute fuite de données Lorsque vous configurez la fonction Enterprise Data Protection pour les terminaux, vous spécifiez les applications que vous souhaitez protéger avec EDP. Les applications protégées sont en mesure de créer des fichiers professionnels et d'y accéder, tandis qu'il est possible de bloquer l'accès des applications non protégées aux fichiers professionnels. Vous pouvez choisir le niveau de protection pour les applications protégées en fonction de la manière dont vous souhaitez que les utilisateurs se comportent lorsqu'ils partagent des données professionnelles. Lorsque la fonction EDP est activée, toutes les pratiques de partage des données sont surveillées. Pour plus d'informations sur la fonction EDP, rendez-vous sur le site https:// technet.microsoft.com/en-us/itpro/windows/keep-secure/protect-enterprise-data-using-edp. 97 E-mail, Wi-Fi, VPN et autres connexions professionnelles Les applications que vous spécifiez peuvent être compatibles ou non. Les applications compatibles peuvent créer des données professionnelles et personnelles, mais aussi y accéder. Les applications non compatibles peuvent uniquement créer des données professionnelles et y accéder. Pour plus d'informations sur les applications compatibles et non compatibles, rendezvous sur le site https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enlightened-microsoft-apps-and-edp. Créer un profil Enterprise Data Protection 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. 4. Dans le champ Paramètres Enterprise Data Protection, sélectionnez l'un des niveaux de protection suivants : en regard de Enterprise Data Protection. • O • Silencieux • Remplacer • Bloquer 5. Dans le champ Noms de domaines d'entreprise protégés, saisissez les noms de domaines professionnels. Séparez plusieurs domaines par une barre verticale (« | »). 6. Le cas échéant, sélectionnez Autoriser l'utilisateur à décrypter les données. 7. Le cas échéant, sélectionnez Appliquer la protection sous la configuration de verrouillage. 8. Dans le champ Fichier de certificat de récupération des données (.der, .cer), cliquez sur Parcourir, puis sélectionnez un fichier de certificat de récupération des données. 9. Le cas échéant, sélectionnez Supprimer les paramètres Enterprise Data Protection lorsqu'un terminal est supprimé de BES12. 10. Le cas échéant, sélectionnez Afficher le recouvrement d'icônes Entreprise Data Protection sur les fichiers et applications protégés autorisés à créer du contenu d'entreprise. 11. Le cas échéant, dans le champ Portée IP du réseau professionnel, spécifiez une liste d'adresses IP professionnelles. Utilisez un tiret (« - ») pour indiquer une plage et une virgule (« , ») pour séparer les adresses. 12. Dans le champ Code de charge utile des applications de bureau, spécifiez les applications de bureau qui sont autorisées ou non à accéder aux données protégées par EDP. 13. Dans le champ Code de charge utile des applications de la plateforme Windows universelle, spécifiez les applications qui sont autorisées ou non à accéder aux données protégées par EDP. 14. Cliquez sur Ajouter. 98 E-mail, Wi-Fi, VPN et autres connexions professionnelles Utilisation de BlackBerry Secure Connect Plus pour des connexions sécurisées aux ressources professionnelles BlackBerry Secure Connect Plusest un composantBES12qui fournit un tunnel IP sécurisé entre des applications et un réseau d'entreprise : • Pour les terminaux BlackBerry 10, Samsung KNOX Workspace et Android for Work, toutes les applications de l'espace Travail utilisent le tunnel sécurisé. • Pour les terminaux iOS, vous pouvez autoriser toutes les applications à utiliser le tunnel ou spécifier des applications utilisant un VPN par application. Ce tunnel permet aux utilisateurs d'accéder à des ressources professionnelles derrière le pare-feu de l'entreprise tout en assurant la sécurité des données à l'aide des protocoles standard et du cryptage de bout en bout. BlackBerry Secure Connect Plus et un terminal pris en charge établissent un tunnel IP sécurisé s'il s'agit de la meilleure option disponible à des fins de connexion au réseau de l'entreprise. Si un terminal se voit attribuer un profil Wi-Fi ou un profil VPN et que le terminal peut accéder au réseau Wi-Fi professionnel ou VPN, il utilise ces méthodes pour se connecter au réseau. Si ces options ne sont pas disponibles (par exemple, si l'utilisateur est hors de portée du réseau Wi-Fi professionnel), BlackBerry Secure Connect Plus et le terminal établissent un tunnel IP sécurisé. Pour les terminauxiOS, si vous configurez un VPN par application pourBlackBerry Secure Connect Plus, les applications configurées utilisent toujours un tunnel sécurisé viaBlackBerry Secure Connect Plus, même si l'application peut se connecter au réseauWi-Fiprofessionnel ou au VPN spécifié dans un profilWi-Fiou VPN. Les terminaux pris en charge communiquent avec BES12 pour établir le tunnel sécurisé via BlackBerry Infrastructure. Un tunnel est établi pour chaque terminal. Le tunnel prend en charge les protocoles IPv4 standard (TCP et UDP). Tant que le tunnel est ouvert, les applications peuvent accéder aux ressources du réseau. Lorsque le tunnel n'est plus requis (si, par exemple, l'utilisateur est à portée du réseau Wi-Fi professionnel), il prend fin. BlackBerry Secure Connect Plus offre les avantages suivants : • Le trafic IP acheminé entre les terminaux et BES12 est crypté de bout en bout à l'aide de l'AES256, ce qui garantit la sécurité des données professionnelles. • BlackBerry Secure Connect Plus fournit une connexion fiable et sécurisée aux ressources professionnelles lorsqu'un utilisateur de terminal ne peut pas accéder au réseau Wi-Fi professionnel ou VPN. • BlackBerry Secure Connect Plus est installé derrière le pare-feu de votre entreprise, de sorte que les données transitent via une zone de confiance qui suit les normes de sécurité de votre entreprise. Pour plus d'informations sur la méthode utilisée par BlackBerry Secure Connect Plus pour transférer des données depuis et vers les terminaux, reportez-vous au contenu relatif à l'architecture. 99 E-mail, Wi-Fi, VPN et autres connexions professionnelles Étapes à suivre pour activer BlackBerry Secure Connect Plus Pour activer BlackBerry Secure Connect Plus, procédez comme suit : Étape Action Vérifiez que le domaine BES12 de votre entreprise répond aux conditions d'utilisation de BlackBerry Secure Connect Plus . Installez BlackBerry Connectivity Node ou mettez à niveau BlackBerry Connectivity Node avec la dernière version. Activez BlackBerry Secure Connect Plus dans le profil de connectivité d'entreprise par défaut ou dans un profil personnalisé que vous créez. Vous pouvez également spécifier les paramètres DNS pour l'application BES12 Secure Connect Plus . Attribuez le profil de connectivité d'entreprise aux utilisateurs et groupes. Exigences liées au serveur et au terminal Pour utiliser BlackBerry Secure Connect Plus, l'environnement de votre entreprise doit répondre aux exigences ci-dessous. Pour le domaine BES12 : • Le pare-feu de votre entreprise doit autoriser les connexions sortantes sur le port 3101 vers <région>.turnb.bbsecure.com et <région>.bbsecure.com. Si vous configurez BES12 pour qu'il utilise un serveur proxy, vérifiez que ce serveur proxy autorise les connexions sur le port 3101 vers ces sous-domaines. Pour connaitre les domaines et les adresses IP à utiliser dans votre configuration de pare-feu, rendez-vous sur le site http:// support.blackberry.com/kb et lisez l'article KB36470. • Le composant BlackBerry Secure Connect Plus doit être en cours d'exécution. • Par défaut, les terminaux Android for Work ne sont pas autorisés à utiliser BlackBerry Secure Connect Plus pour se connecter à Google Play et aux services sous-jacents (com.android.providers.media, com.android.vending et com.google.android.apps.gcs). Google Play ne prend pas en charge le proxy. Les terminaux Android for Work utilisent une connexion directe via Internet à Google Play. Vérifiez que ces restrictions sont configurées dans le profil de connectivité d'entreprise par défaut ou dans les nouveaux profils de connectivité d'entreprise personnalisés que vous créez. Il est recommandé de maintenir ces restrictions. Si vous supprimez l'une de ces restrictions, vous devez contacter l'assistance Google Play afin de vous renseigner au sujet de la configuration de pare-feu obligatoire pour autoriser les connexions à Google Play à l'aide de BlackBerry Secure Connect Plus. 100 E-mail, Wi-Fi, VPN et autres connexions professionnelles Pour les terminaux pris en charge : Terminal BlackBerry 10 Samsung KNOX Workspace Android for Work iOS Configuration requise • BlackBerry 10Système d'exploitation version 10.3.2 ou ultérieure • L'un des types d'activation suivants : ◦ Travail et Personnel - Entreprise ◦ Espace Travail uniquement ◦ Travail et Personnel - Régulé • Android version 5.0 ou ultérieure • Samsung KNOX MDM version 5.0 ou ultérieure • Samsung KNOX version 2.3 ou ultérieure • L'un des types d'activation suivants : ◦ Espace Travail uniquement (Samsung KNOX) ◦ Travail et Personnel - Contrôle total (Samsung KNOX) ◦ Travail et Personnel - Confidentialité de l'utilisateur (Samsung KNOX) • Android version 5.1 ou ultérieure • L'un des types d'activation suivants : ◦ Espace Travail uniquement (Android for Work - Premium) ◦ Travail et Personnel - Confidentialité de l'utilisateur (Android for Work Premium) • iOS version 9 ou ultérieure • Les terminaux doivent être activés à l'aide de l'application Good for BES12, disponible à partir de App Store. • Type d'activation Contrôles MDM Pour plus d'informations sur les licences requises pour utiliserBlackBerry Secure Connect Plus, consultez le contenu relatif aux licences. 101 E-mail, Wi-Fi, VPN et autres connexions professionnelles Activation et configuration de BlackBerry Secure Connect Plus Lorsque vous installez BlackBerry Connectivity Node pour établir une connexion sécurisée avec les ressources de votre entreprise (par exemple, Microsoft Active Directory), vous installez également le composant BlackBerry Secure Connect Plus. Une fois que vous avez installé et activé BlackBerry Connectivity Node, vous pouvez activer BlackBerry Secure Connect Plus à l'aide d'un profil de connectivité d'entreprise. Remarque: si vous utilisez un profil de messagerie pour activer BlackBerry Secure Gateway Service pour les terminaux iOS avec des activations de contrôles MDM, il est recommandé de configurer un VPN par application pour BlackBerry Secure Connect Plus. Pour plus d'informations sur BlackBerry Secure Gateway Service, reportez-vous à iOS : paramètres de profil de messagerie. Installation ou mise à niveau du composant BlackBerry Secure Connect Plus Lorsque vous installez BlackBerry Connectivity Node, le processus d'installation installe également le composant BlackBerry Secure Connect Plus sur le même ordinateur. Si vous mettez à niveau BlackBerry Connectivity Node vers la version la plus récente et que BlackBerry Secure Connect Plus n'est pas installé, le processus de mise à niveau installe BlackBerry Secure Connect Plus. Si BlackBerry Secure Connect Plus a été installé précédemment, le processus met BlackBerry Secure Connect Plus à niveau vers la dernière version. Pour obtenir des instructions sur l'installation ou la mise à niveau de BlackBerry Connectivity Node, reportez-vous à la section « Installation et mise à niveau de BlackBerry Connectivity Node » dans le contenu relatif à la configuration. Vous devez activer BlackBerry Connectivity Node avant de pouvoir activer BlackBerry Secure Connect Plus. Vous avez la possibilité d'acheminer les données entre BlackBerry Secure Connect Plus et BlackBerry Infrastructure via BlackBerry Router ou un serveur proxy TCP (transparent ou SOCKS v5). Utilisez la console de gestion BlackBerry Connectivity Node (Paramètres généraux > Proxy) pour configurer les paramètres de proxy. Remarque: Si vous spécifiez des informations de proxy non valides, BlackBerry Secure Connect Plus s'arrête et ne peut pas redémarrer. Si ce problème se produit, corrigez les informations de proxy et redémarrez le service BES12 - BlackBerry Secure Connect Plus dans les services Windows. Équilibrage des charges et haute disponibilité pour BlackBerry Secure Connect Plus Si vous installez une deuxième instance de BlackBerry Connectivity Node pour la redondance, l'application d'installation installe une deuxième instance de BlackBerry Secure Connect Plus. Les deux instances de BlackBerry Secure Connect Plus sont exécutées et traitent les données. La charge de données est équilibrée entre les deux instances. Un basculement de haute disponibilité est disponible pour les terminaux BlackBerry 10, Samsung KNOX Workspace, Android for Work et iOS. Si un terminal utilise un tunnel sécurisé et que le composant BlackBerry Secure Connect Plus actuel devient indisponible, BlackBerry Infrastructure attribue le terminal à l'autre instance. Le terminal utilise à nouveau le tunnel sécurisé sans interruption majeure. 102 E-mail, Wi-Fi, VPN et autres connexions professionnelles Activer BlackBerry Secure Connect Plus Si vous souhaitez autoriser des terminaux à utiliser BlackBerry Secure Connect Plus, vous devez activer BlackBerry Secure Connect Plus dans un profil de connectivité d'entreprise et attribuer ce profil aux utilisateurs et aux groupes. Par défaut, BlackBerry Secure Connect Plus n'est pas activé pour BlackBerry 10 ni pour les terminaux Android et iOS pris en charge. Vous pouvez effectuer l'une des actions suivantes : • Activer BlackBerry Secure Connect Plus pour les types de terminaux pris en charge dans le profil de connectivité d'entreprise par défaut. Si aucun profil de connectivité d'entreprise personnalisé n'est attribué, directement ou par appartenance aux groupes, à un compte d'utilisateur, BES12 attribue le profil par défaut. • Créez un profil de connectivité d'entreprise personnalisé à l'aide des instructions suivantes et attribuez-le aux utilisateurs et aux groupes. Une fois le profil de connectivité d'entreprise appliqué au terminal après activation, BES12 envoie au terminal les profils SCEP et VPN requis pour utiliser BlackBerry Secure Connect Plus. BES12 installe également l'application BES12 Secure Connect Plus sur le terminal (pour les terminaux Android for Work, l'application est automatiquement installée à partir de Google Play. Pour les terminaux iOS, l'application est automatiquement installée à partir de App Store). Sur les terminaux BlackBerry 10, l'application est masquée et ne requiert aucune interaction de l'utilisateur. 1. Sur la barre de menus de la console de gestion, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Effectuez l'une des tâches suivantes : en regard de Connectivité d'entreprise. Tâche Étapes Activer pour les terminaux BlackBerry 10 1. Dans l'onglet BlackBerry, cochez la case Activer BlackBerry Secure Connect Plus. 2. Si vous souhaitez acheminer le trafic du tunnel sécurisé depuis les terminaux BlackBerry 10 au réseau d'entreprise via un serveur proxy, sélectionnez le profil de proxy qui convient dans la liste déroulante Profil de proxy. 1. Dans l'onglet Android, cochez la case Activer BlackBerry Secure Connect Plus. 2. Si vous souhaitez acheminer le trafic du tunnel sécurisé depuis les terminaux exécutant Samsung KNOX version 2.5 ou ultérieure au réseau d'entreprise via un serveur proxy, sélectionnez le profil de proxy qui convient dans la liste déroulante Profil de proxy. Pour les terminaux Android pris en charge : Remarque: Le paramètre de profil proxy ne s'applique pas aux terminaux Android for Work ni aux terminaux exécutant Samsung KNOX version 2.4 ou antérieure. 3. Si vous souhaitez restreindre une application d'espace de travail spécifique sur les terminaux Android for Work en l'empêchant d'utiliser BlackBerry Secure 103 E-mail, Wi-Fi, VPN et autres connexions professionnelles Tâche Étapes Connect Plus, accédez à la section Connectivité d'entreprise pour le conteneur Android for Work et cliquez sur , puis saisissez l'identifiant de package de l'application. Si nécessaire, répétez l'opération pour restreindre d'autres applications. Remarque: Par défaut, Google Play et les services sous-jacents (com.android.providers.media, com.android.vending et com.google.android.apps.gcs) sont restreints, puisque Google Play ne dispose pas d'une prise en charge de proxy. Il est recommandé de maintenir ces restrictions. Si vous supprimez l'une de ces restrictions, vous devez contacter l'assistance Google Play pour la configuration de pare-feu requise pour autoriser les connexions à Google Play à l'aide de BlackBerry Secure Connect Plus. Activer pour les terminaux iOS 1. Dans l'onglet iOS, cochez la case Activer BlackBerry Secure Connect Plus. 2. Si vous souhaitez configurer un VPN par application, de sorte que seules quelques applications spécifiques soient autorisées à utiliser BlackBerry Secure Connect Plus, cochez la case Activer un VPN par application. Pour spécifier les domaines autorisés à démarrer une connexion VPN dans Safari, cliquez sur Si vous voulez que les applications puissent démarrer automatiquement la connexion VPN, cochez la case Autoriser la connexion automatique des applications. 3. . Si vous souhaitez autoriser toutes les applications à utiliser BlackBerry Secure Connect Plus, décochez la case Activer un VPN par application. Remarque: Si vous sélectionnez cette option, les utilisateurs doivent activer manuellement la connexion VPN sur leur terminal pour pouvoir utiliser BlackBerry Secure Connect Plus. Tant que la connexion VPN est activée, le terminal utilise BlackBerry Secure Connect Plus pour se connecter au réseau d'entreprise. L'utilisateur doit désactiver la connexion VPN pour utiliser une autre connexion, telle que le réseau Wi-Fi de l'entreprise. Indiquez aux utilisateurs à quel moment il est approprié d'activer et de désactiver la connexion VPN (par exemple, vous pouvez leur demander d'activer la connexion VPN lorsqu'ils sont hors de portée du réseau Wi-Fi de l'entreprise). 4. Si vous souhaitez spécifier des règles pour les connexions BlackBerry Secure Connect Plus, cliquez sur Activer VPN à la demande et indiquez les domaines ou noms d'hôte, actions à la demande et règles à la demande appropriés. Pour plus d'informations sur ces paramètres, consultez : paramètres de profil VPNiOSOS X. 104 E-mail, Wi-Fi, VPN et autres connexions professionnelles Tâche Étapes Remarque: Si vous autorisez tous les applications installées sur les terminaux iOS à utiliser BlackBerry Secure Connect Plus, évitez d'ajouter des règles à la demande comme Connect, qui tentent de créer une connexion VPN toujours activée. Si vous ajoutez ce genre de règles, le terminal peut tenter d'établir une connexion VPN pendant le processus d'activation avant de recevoir les profils et certificats nécessaires de BES12. Il ne pourra alors pas se connecter et l'utilisateur devra basculer la connexion VPN pour résoudre le problème. Il est recommandé d'utiliser plutôt des règles à la demande comme EvaluateConnection, qui permettent au terminal de recevoir les profils et certificats requis avant de tenter d'établir une connexion VPN aux domaines spécifiés. Actuellement, la spécification d'un profil de proxy dans l'onglet iOS ne s’applique pas à BlackBerry Secure Connect Plus. 4. Cliquez sur Ajouter. 5. Attribuez le profil aux groupes ou comptes d'utilisateur. 6. Si vous avez configuré un VPN par application pour les terminaux iOS, procédez comme suit lorsque vous attribuez une application ou un groupe d'applications : associez cette application ou ce groupe d'applications au profil de connectivité d'entreprise qui convient. Sur les terminaux Samsung KNOX Workspace et Android for Work, l'application BES12 Secure Connect Plus invite les utilisateurs à l'autoriser à s'exécuter en tant que VPN et à autoriser l'accès aux clés privées du terminal. Demandez aux utilisateurs d'accepter ces demandes. Les utilisateurs de terminaux Samsung KNOX Workspace, Android for Work et iOS peuvent ouvrir l'application pour afficher l'état de la connexion. Aucune action supplémentaire n'est requise de la part des utilisateurs. À la fin: • Si vous créez plusieurs profils de connectivité d'entreprise, classez-les. • Si vous dépannez un problème de connexion sur un terminal KNOX Workspace, Android for Work ou iOS, l'application autorise l'utilisateur à envoyer les journaux du terminal à l'adresse électronique d'un administrateur (l'utilisateur saisit une adresse électronique que vous devez fournir). Notez que les journaux ne sont pas visibles à l'aide de Winzip. Il est recommandé d'utiliser un autre utilitaire, par exemple 7-Zip. Spécifier les paramètres DNS pour l'application BES12 Secure Connect Plus Vous pouvez spécifier les serveurs DNS que l'application BES12 Secure Connect Plus doit utiliser pour les connexions de tunnel sécurisées. Vous pouvez également spécifier des suffixes de recherche DNS. Si vous ne spécifiez pas de paramètres DNS, l'application récupère les adresses DNS depuis l'ordinateur qui héberge le composant BlackBerry Secure Connect Plus et le suffixe de recherche par défaut correspond au domaine DNS de cet ordinateur. 105 E-mail, Wi-Fi, VPN et autres connexions professionnelles 1. Dans la console BlackBerry Connectivity Node (http:/localhost:8088), cliquez sur Paramètres généraux > BlackBerry Secure Connect Plus dans le volet gauche. 2. Cochez la case Configurer manuellement les serveurs DNS et cliquez sur 3. Saisissez l'adresse du serveur DNS secondaire au format décimal séparé par des points (par exemple 192.0.2.0). Cliquez sur Ajouter. 4. Si nécessaire, répétez les étapes 2 et 3 pour ajouter d'autres serveurs DNS. Dans le tableau Serveurs DNS, cliquez sur les flèches de la colonne Classement pour définir la priorité des serveurs DNS. 5. Si vous souhaitez spécifier des suffixes de recherche DNS, procédez comme suit : . a. Cochez la case Gérer manuellement les suffixes de recherche DNS et cliquez sur b. Saisissez le suffixe de recherche DNS (par exemple, domaine.com). Cliquez sur Ajouter. . 6. Si nécessaire, répétez l'étape 5 pour ajouter d'autres suffixes de recherche DNS. Dans le tableau Suffixe de recherche DNS, cliquez sur les flèches de la colonne Classement pour définir la priorité des serveurs DNS. 7. Cliquez sur Enregistrer. Diriger le trafic de l'espace Travail BlackBerry 10 via BlackBerry Secure Connect Plus lorsqu'un réseau Wi-Fi est disponible Si vous utilisez BES12 pour configurer un profil Wi-Fi et l'attribuer aux terminaux BlackBerry 10, les terminaux hiérarchisent le réseau Wi-Fi professionnel au-dessus de BlackBerry Secure Connect Plus. Si le réseau Wi-Fi professionnel n'est pas disponible et qu'aucun profil VPN n'a été attribué aux terminaux ou qu'ils ne peuvent pas accéder au VPN, les terminaux utilisent BlackBerry Secure Connect Plus. Vous avez la possibilité de diriger tout le trafic de l'espace Travail via BlackBerry Secure Connect Plus même lorsque les terminaux peuvent accéder au réseau Wi-Fi professionnel. Vous pouvez choisir d'utiliser cette option si les normes de sécurité de votre entreprise empêchent les connexions des terminaux aux ressources professionnelles via le réseau Wi-Fi. Remarque: L'activation de cette fonctionnalité dirige tout le trafic de l'espace Travail qui utilise normalement le réseau Wi-Fi professionnel via une connexion sécurisé à BlackBerry Infrastructure. Cette fonctionnalité peut avoir une incidence sur l'utilisation des données de votre entreprise et les frais de réseau. Vérifier qu'il s'agit de la configuration privilégiée par votre entreprise avant d'activer cette fonctionnalité. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Wi-Fi et cliquez sur le profil Wi-Fi attribué aux utilisateurs de terminaux BlackBerry 10. 3. Cliquez sur 4. Sur l'onglet BlackBerry, dans la section Profils associés, cochez la case Utiliser un profil de connectivité d'entreprise avec connexion BlackBerry Secure Connect Plus pour les données professionnelles. 5. Cliquez sur Enregistrer. . À la fin: si vous avez créé et attribué plusieurs profils Wi-Fi, répétez cette tâche, si nécessaire. 106 E-mail, Wi-Fi, VPN et autres connexions professionnelles Résolution des problèmesBlackBerry Secure Connect Plus L'adaptateur BlackBerry Secure Connect Plus passe à un état « Réseau non identifié » et cesse de fonctionner. Cause Ce problème peut survenir si vous redémarrez l'ordinateur qui héberge BlackBerry Secure Connect Plus. Solution - Windows Server 2008 R2 et Windows Server 2008 R2 SP1 1. Dans le Gestionnaire de serveur, développez Rôles > Stratégie réseau et services d'accès. Cliquez avec le bouton droit sur Accès à distance et routage et cliquez sur Désactiver le routage et l'accès à distance. 2. Cliquez avec le bouton droit sur Accès à distance et routage et cliquez sur Configurer et activer l'accès à distance et le routage. 3. Exécutez l'Assistant de configuration en sélectionnant les options suivantes : a Sur l'écran Configuration, sélectionnez Network Address Translation (NAT). b Sur l'écran Connexion Internet NAT, sélectionnez Utiliser cette interface publique pour se connecter à Internet. Vérifiez que BlackBerry Secure Connect Plus s'affiche dans la liste des interfaces réseau. 4. Développez Rôles > Stratégie réseau et services d'accès > Accès à distance et routage > IPv4 et cliquez sur NAT. Ouvrez les propriétés de connexion au réseau local et sélectionnez Interface publique connectée à Internet et Activer NAT sur cette interface. Cliquez sur OK. 5. Ouvrez les propriétés BlackBerry Secure Connect Plus et sélectionnez Interface privée connectée au réseau privé. Cliquez sur OK. 6. Cliquez avec le bouton droit sur Accès à distance et routage, puis sur Toutes les tâches > Redémarrer. 7. Dans les services Windows Windows, redémarrez le service BES12 – BlackBerry Secure Connect Plus. Dans Connexions réseau, il peut s'écouler quelques minutes avant que l'adaptateur BlackBerry Secure Connect Plusaffiche une connexion réussie. Téléchargez et installez le correctif de l'article KB Windows Échec de la fonctionnalité NAT sur un serveur RRAS basé sur Windows Server 2008 R2 SP1. Solution - Windows Server 2012 1. Dans le Gestionnaire de serveur, cliquez sur Gérer > Ajouter des rôles et des fonctionnalités. Cliquez sur Suivant jusqu'à accéder à l'écran Fonctionnalités. Développez Outils d'administration de serveur distant > Outils d'administration de rôles et sélectionnez Outils de gestion des accès distants. Exécutez l'Assistant pour installer les outils. 2. Cliquez sur Outils > Gestion des accès distants. 107 E-mail, Wi-Fi, VPN et autres connexions professionnelles 3. Sous Configuration, cliquez sur DirectAccess et VPN . 4. Sous VPN , cliquez sur Ouvrir la gestion RRAS . 5. Cliquez avec le bouton droit sur Routage et Serveur d'accès à distance, puis cliquez sur Désactiver le routage et l'accès à distance. 6. Cliquez avec le bouton droit sur Routage et Serveur d'accès à distance, puis cliquez sur Configurer et activer l'accès à distance et le routage. 7. Exécutez l'Assistant de configuration en sélectionnant les options suivantes : a Sur l'écran Configuration, sélectionnez Network Address Translation (NAT). b Sur l'écran Connexion Internet NAT, sélectionnez Utiliser cette interface publique pour se connecter à Internet. Vérifiez que BlackBerry Secure Connect Plus s'affiche dans la liste des interfaces réseau. 8. Développez Rôles > Stratégie réseau et services d'accès > Accès à distance et routage > IPv4 et cliquez sur NAT. Ouvrez les propriétés de connexion au réseau local et sélectionnez Interface publique connectée à Internet et Activer NAT sur cette interface. Cliquez sur OK. 9. Ouvrez les propriétés BlackBerry Secure Connect Plus et sélectionnez Interface privée connectée au réseau privé. Cliquez sur OK. 10. Cliquez avec le bouton droit sur Routage et serveur d'accès à distance, puis sur Toutes les tâches > Redémarrer. 11. Dans les services Windows Windows, redémarrez le service BES12 – BlackBerry Secure Connect Plus. Téléchargez et installez le correctif de l'article KB Windows Échec de la fonctionnalité NAT sur un serveur RRAS basé sur Windows Server 2012. BlackBerry Secure Connect Plus ne démarre pas. Cause possible Les paramètres TCP/IPv4 pour l'adaptateur BlackBerry Secure Connect Plus sont peut-être incorrects. Solution possible DansConnexions réseau > Adaptateur BlackBerry Secure Connect Plus > Propriétés > Protocole IPv4 (TCP/IPv4) > Propriétés, vérifiez que la caseUtiliser l'adresse IP suivanteest cochée, avec les valeurs par défaut suivantes • Adresse IP : 172.16.0.1 • Masque de sous-réseau : 255.255.0.0 Si nécessaire, corrigez ces paramètres, puis redémarrez le serveur. Afficher les fichiers journaux pour BlackBerry Secure Connect Plus Deux fichiers journaux, situés par défaut à l'emplacement <lecteur>:\Program Files\BlackBerry\BES\Logs\<aaaammjj>, enregistrent les données concernant BlackBerry Secure Connect Plus : 108 E-mail, Wi-Fi, VPN et autres connexions professionnelles • BSCP : consigne les données sur le composant serveur BlackBerry Secure Connect Plus • BSCP-TS : consigne les données de connexion avec l'application BES12 Secure Connect Plus Objectif Fichier journal Exemple Vérifier queBlackBerry Secure BSCP Connect Plus est connecté à BlackBerry Infrastructure 2015-01-19T13:17:47.540-0500 - BSCP {TcpClientConnectorNio#2} logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG Received Ping from [id: 0x60bce5a3, /10.90.84.22:28231 => stratos.bcp.bblabs.rim.net/206.53.155.152:3101], responding with Pong. 2015-01-19T13:18:22.989-0500 - BSCP {ChannelPinger#1} logging.feature.bscp.service|logging.component.bscp.pss.bcp [{}] - DEBUG Sending Ping to [id: 0xb4a1677a, /10.90.84.22:28232 => stratos.bcp.bblabs.rim.net/206.53.155.152:3101] Vérifier que BlackBerry Secure Connect Plus est prêt à recevoir des appels depuis l'application BES12 Secure Connect Plus sur les terminaux BSCP-TS 47: [14:13:21.231312][][3][AsioTurnSocket-1] Connected, host=68-171-243-141.rdns.blackberry.net Vérifier que les terminaux utilisent le tunnel sécurisé BSCP-TS 48: [14:13:21.239312][][3][AsioTurnSocket-1] Creating TURN allocation 49: [14:13:21.405121][][3][AsioTurnSocket-1] TURN allocation created 74: [10:39:45.746926][][3][Tunnel-2FFEC51E] Sent: 2130.6 KB (1733), Received: 201.9 KB (1370), Running: 00:07:00.139249 109 Normes relatives aux terminaux Normes relatives aux terminaux 8 Vous pouvez utiliser des profils pour appliquer certaines normes aux terminaux de votre organisation. Différents profils prennent en charge des configurations spécifiques telles que les règles de conformité, les limites de contenu Web ou les limites des applications. Vous pouvez spécifier les paramètres des terminaux BlackBerry 10, iOS, Android et Windows dans le même profil, puis attribuez le profil à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Étapes à suivre pour configurer les normes de votre organisation pour les terminaux Pour configurer les normes de votre organisation pour les terminaux, procédez comme suit : Étape Action Créez des profils pour appliquer certaines normes aux terminaux. Par exemple, créez un profil de conformité, un profil de contenu Web ou un profil de notification d'entreprise. Si nécessaire, classez les profils. Attribuez les profils aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Gestion des normes relatives aux terminaux à l'aide de profils Vous pouvez gérer certaines normes relatives aux terminaux à l'aide des profils suivants disponibles dans la bibliothèque des stratégies et des profils. Profil Description Mode de verrouillage des applications Un profil de mode de verrouillage des applications configure les terminaux iOS supervisés et les terminaux gérés avec KNOXMDM pour exécuter une seule 110 Normes relatives aux terminaux Profil Description application (pour les formations ou les démonstrations en points de vente, par exemple). Conformité Un profil de conformité définit les conditions des terminaux non acceptables dans votre organisation ainsi que les actions d'application. BES12 inclut un profil de conformité par défaut. Terminal Un profil de terminal vous permet de configurer les informations qui s'affichent sur les terminaux. Configuration logicielle minimale requise Un profil d'exigences SR des terminaux définit les versions du logiciel dont les du terminal terminaux BlackBerry 10 doivent disposer. Service de localisation Un profil de service de localisation vous permet de demander l'emplacement de terminaux et d'afficher l'emplacement approximatif sur une carte. Domaines gérés Un profil de domaines gérés configure les terminaux iOS 8 afin de notifier aux utilisateurs l'envoi d'e-mails en dehors des domaines approuvés et limite les applications pouvant afficher des documents téléchargés à partir de domaines internes. Utilisation du réseau Un profil d'utilisation de réseau vous permet de contrôler si les applications professionnelles sur les terminaux exécutant iOS 9 ou ultérieure peuvent utiliser le réseau mobile ou l'itinérance des données. Filtre de contenu Web Un profil de filtre de contenu Web limite les profils de filtre de contenu Web qu'un utilisateur peut consulter sur des terminaux iOS supervisés. Icône Web Un profil d'icône Web vous permet de créer une icône Web personnalisée à afficher sur les terminauxiOS etOS X. Application des règles de conformité aux terminaux Vous pouvez utiliser des profils de conformité pour encourager les utilisateurs de terminaux à respecter les normes de votre organisation en matière d'utilisation des terminaux BlackBerry 10, iOS, Android et Windows Phone. Un profil de conformité définit les conditions des terminaux non acceptables dans votre organisation. Par exemple, vous pouvez choisir d'interdire les terminaux « crackés » ou « flashés » ou de déclencher une alerte d'intégrité en cas d'accès non autorisé au système d'exploitation. 111 Normes relatives aux terminaux Un profil de conformité spécifie les informations suivantes : • Les conditions affectant la conformité d'un terminal BES12 • Les notifications reçues par les utilisateurs s'ils violent les conditions de conformité ainsi que le délai dont ils disposent pour corriger le problème • Les notifications reçues par les utilisateurs s'ils installent des applications limitées ainsi que le délai dont ils disposent pour corriger le problème • Action prise si l'utilisateur ne corrige pas le problème, notamment : restriction d'accès de l'utilisateur aux ressources de l'entreprise, suppression des données professionnelles du terminal ou suppression de toutes les données du terminal Pour les terminaux Samsung KNOX, vous pouvez ajouter une liste d'applications limitées à un profil de conformité. Toutefois, BES12 ne fait pas appliquer les règles de conformité. Au lieu de cela, la liste des applications limitées est envoyée aux terminaux et le terminal applique la conformité. Les applications limitées ne peuvent pas être installées ou si elles sont déjà installées, elles sont désactivées. Lorsque vous supprimez une application de la liste limitée, l'application est réactivée si elle est déjà installée. BES12 inclut un profil de conformité par défaut. Par défaut, le profil de conformité par défaut n'applique aucune condition de conformité. Pour appliquer les règles de conformité, vous pouvez modifier les paramètres du profil de conformité par défaut ou créer et attribuer des profils de conformité personnalisés. Les comptes d'utilisateur ne présentant pas de profil de conformité personnalisé se voient attribuer le profil de conformité par défaut. Créer un profil de conformité Avant de commencer: • Si vous définissez des règles pour les applications limitées, ajoutez les applications nécessaires à la liste des applications limitées. Pour plus d'informations, reportez-vous à Ajouter une application à la liste des applications limitées. • Pour surveiller les applications dans les profils de conformité pour les terminaux Windows Phone, vous devez télécharger un jeton d'inscription d'application (AET). Pour plus d'informations, reportez-vous à Télécharger un jeton d'inscription d'application pour les terminaux Windows Phone . • Si vous souhaitez envoyer une notification par e-mail aux utilisateurs lorsque leurs terminaux ne sont pas conformes, modifiez l'e-mail de conformité par défaut ou créez un nouveau modèle d'e-mail. Pour plus d'informations, reportezvous à Création d'un modèle pour les notifications d'e-mail de conformité. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil de conformité. 4. Si vous souhaitez envoyer un message de notification aux utilisateurs lorsque leurs terminaux ne sont plus conformes, effectuez l'une des opérations suivantes : en regard de Conformité. 112 Normes relatives aux terminaux • Dans la liste déroulante E-mail envoyé lorsqu'une violation est détectée, sélectionnez un modèle d'email. Pour afficher l'e-mail de conformité par défaut, cliquez sur Paramètres > Paramètres généraux > Modèles d'e-mail. • Développez la section Envoi d'une notification de terminal lorsqu'une violation est détectée. Modifiez l'e-mail, si nécessaire. Si vous souhaitez utiliser des variables pour renseigner les informations sur l'utilisateur, le terminal et la conformité dans les notifications, reportez-vous à la section Variables. Vous pouvez également définir et utiliser vos propres variables personnalisées via la console de gestion. Pour plus d'informations, reportez-vous à Variables personnalisées. 5. Cliquez sur l'onglet correspondant au type de terminal qui convient et exécutez l'une des opérations suivantes : • Si vous souhaitez que les terminaux présentant une violation du système d'exploitation soient considérés comme non conformes, cochez la case Alerte d'intégrité (BlackBerry 10), Système d'exploitation « cracké » (iOS) ou Système d'exploitation « flashé » (Android). • Pour les terminaux BlackBerry 10 : si vous souhaitez que les terminaux utilisant une version limitée du logiciel spécifiée dans un profil d'exigences SR soient considérés comme non conformes, sélectionnez Une version limitée du logiciel est installée. Cette condition ne s'applique pas aux terminaux dotés du type d'activation Travail et Personnel - Entreprise. • Si vous souhaitez que les terminaux qui exécutent la version restreinte d'un système d'exploitation soient considérés comme non conformes, cochez la caseLa version restreinte d'un système d'exploitation est installée. Cliquez surModifierpour sélectionner les versions de systèmes d'exploitation que vous souhaitez restreindre, puis cliquez surEnregistrer. • Si vous souhaitez que les modèles de terminal restreints soient considérés comme non conformes, cochez la caseUn modèle de terminal restreint est installé. Dans la liste déroulanteRestrictions de modèle de terminal, indiquez si vous souhaitez créer une liste des éléments autorisés ou une liste des éléments restreints. Cliquez surModifierpour sélectionner les modèles de terminal que vous souhaitez restreindre ou autoriser, puis cliquez surEnregistrer. • Pour les terminaux iOS ou Android : si vous souhaitez que les terminaux contenant des applications non attribuées soient considérés comme non conformes, cochez la case Une application non attribuée est installée. Cette condition ne s'applique pas aux terminaux dotés du type d'activation Travail et Personnel Confidentialité de l'utilisateur. • Pour les terminaux iOS, Android et Windows Phone : ◦ si vous souhaitez que les terminaux ne disposant pas d'une application requise soient considérés comme non conformes, cochez la case L'application requise n'est pas installée. Cette condition ne s'applique pas aux terminaux dotés du type d'activation Travail et Personnel - Confidentialité de l'utilisateur. ◦ Si vous souhaitez que les terminaux contenant une application restreinte soient considérés comme non conformes, cochez la case Une application restreinte est installée et ajoutez les applications restreintes au tableau. Cette condition ne s'applique pas aux terminaux dotés du type d'activation Travail et Personnel - Confidentialité de l'utilisateur. 113 Normes relatives aux terminaux 6. • Si vous souhaitez que les terminaux qui n'ont pas été en contact avecBES12pendant une période de temps précise soient considérés comme non conformes, cochez la caseTerminal hors de portée. • Pour les terminaux Android version 6.0 ou ultérieure et PRIV version 5.1.1 ou ultérieure : si vous souhaitez que les terminaux sans correctif de sécurité obligatoire soient considérés comme non conformes, cochez la case Le niveau du correctif de sécurité est inférieur au niveau minimal, puis ajoutez les modèles de terminal et les dates de correctif de sécurité au tableau. Les terminaux exécutant un correctif de sécurité de date équivalente ou ultérieure aux dates de correctif de sécurité spécifiées sont considérés comme conformes. Pour tous les terminaux, à l'exception des terminaux Android utilisant Samsung KNOX, et pour chaque condition que vous sélectionnez l'étape 4, choisissez l'action que vous souhaitez que BES12 exécute lorsque le terminal d'un utilisateur n'est pas conforme : Action Étapes Automatiquement signaler à l'utilisateur que 1. son terminal n'est pas conforme et exécuter une action d'application si l'utilisateur ne 2. corrige pas le problème. Dans la liste déroulante Action d'application, cliquez sur Invite à la conformité. Dans la liste déroulante Méthode d'invite, cliquez sur le type de message à envoyer à l'utilisateur. 3. Dans le champ Nombre d'invites, saisissez le nombre de fois où le message de notification est envoyé avant que BES12 exécute l'action. 4. Dans le champ Intervalle entre les invites et dans la liste déroulante, spécifiez le délai entre les invites. 5. Dans la liste déroulante Action à l'expiration de l'intervalle entre les invites, sélectionnez l'action que BES12 doit effectuer lorsque la période d'invites expire. • Si vous ne souhaitez pas recourir à une action d'application, sélectionnez Aucune. • Pour empêcher l'utilisateur d'accéder aux ressources et applications professionnelles du terminal, sélectionnez Quarantaine (BlackBerry 10) ou Ne pas faire confiance (iOS ou Android). Les données et les applications ne sont pas supprimées du terminal. • Pour supprimer les données professionnelles du terminal, sélectionnez Supprimer les données professionnelles uniquement. • Pour supprimer toutes les données du terminal, sélectionnez Supprimer toutes les données. Sur les terminaux avec Travail et Personnel - Entreprise ou Travail et Personnel - Confidentialité de l'utilisateur, seules les données professionnelles sont supprimées. 114 Normes relatives aux terminaux Action Étapes Empêchez l'utilisateur d'accéder aux ressources et applications professionnelles du terminal. Les données et les applications ne sont pas supprimées du terminal. Dans la liste déroulante Action d'application, cliquez sur Quarantaine (BlackBerry 10) ou Ne pas faire confiance (iOS ou Android). Supprimez toutes les données professionnelles du terminal. Dans la liste déroulante Action d'application, cliquez sur Supprimer les données professionnelles uniquement. Supprimez toutes les données de mon terminal. Sur les terminaux activés avec Travail et Personnel - Entreprise ou Travail et Personnel - Confidentialité de l'utilisateur, seules les données professionnelles sont supprimées. Dans la liste déroulante Action d'application, cliquez sur Supprimer toutes les données. 7. Répétez les étapes 4 et 5 pour chaque type de terminal pour lequel que vous souhaitez configurer les conditions de conformité. 8. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Ajouter une application à la liste des applications limitées, à la page 181 Télécharger un jeton d'inscription d'application pour les terminaux Windows Phone, à la page 167 Variables, à la page 55 Variables personnalisées, à la page 58 Création d'un modèle pour les notifications d'e-mail de conformité Vous pouvez créer plusieurs modèles d'e-mail, les personnaliser pour des types de terminal ou groupe d'utilisateurs spécifiques et attribuer un modèle approprié à chaque compte d'utilisateur. Lorsque le terminal d'un utilisateur ne respecte pas avec un profil de conformité, BES12 peut envoyer un e-mail personnalisé basé sur le modèle attribué. BES12 comprend un modèle par défaut pour les e-mails relatifs aux violations de conformité. Ce modèle peut être modifié, mais pas supprimé. Si vous n'attribuez pas un autre modèle à un compte d'utilisateur, BES12 utilise le modèle par défaut. 1. Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux. 2. Cliquez sur Modèles d'e-mail. 115 Normes relatives aux terminaux 3. Cliquez sur . Sélectionnez Violation de conformité. 4. Dans le champ Nom, saisissez un nom pour identifier ce modèle. 5. Dans le champ Objet, saisissez un objet pour l'e-mail. 6. Dans le champ Message, saisissez le corps du texte de l'e-mail sur la conformité. Utilisez l'éditeur HTML pour sélectionner le format de police et insérer des images (par exemple, un logo d'entreprise). Insérez des variables dans le texte pour personnaliser le message (par exemple, utilisez la variable %UserDisplayName% pour insérer le nom du destinataire). Pour obtenir la liste des variables disponibles, consultez Variables par défaut. 7. Cliquez sur Enregistrer. Filtrage de contenu Web sur les terminaux iOS Vous pouvez utiliser les profils de filtre de contenu Web pour limiter les sites Web qu'un utilisateur peut afficher dans Safari ou d'autres applications de navigation sur un terminal iOS. Pour les terminaux iOS avec Secure Work Space, les profils de filtre de contenu Web limitent également les sites Web qu'un utilisateur peut afficher dans le navigateur professionnel. Vous pouvez attribuer des profils de filtre de contenu Web à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Lorsque vous créez un profil de filtre de contenu Web, vous pouvez choisir l'option de sites Web autorisés répondant aux normes de votre organisation en termes d'utilisation des terminaux mobiles. Remarque: ce profil s'applique uniquement aux terminaux iOS supervisés. Sites Web autorisés Description Sites Web spécifiques uniquement Cette option permet d'accéder uniquement aux sites Web que vous spécifiez. Dans Safari, un signet est créé pour chaque site Web autorisé. Limiter le contenu pour adultes Cette option permet le filtrage automatique afin d'identifier et de bloquer tout contenu inapproprié. Vous pouvez également inclure certains sites Web en utilisant les paramètres suivants : • URL autorisées : vous pouvez ajouter une ou plusieurs URL pour autoriser l'accès à certains sites Web. Les utilisateurs peuvent afficher les sites Web de cette liste même si le filtrage automatique en bloque l'accès. • URL non autorisées : vous pouvez ajouter une ou plusieurs URL pour refuser l'accès à certains sites Web. Les utilisateurs ne peuvent pas afficher les sites Web de cette liste même si le filtrage automatique en autorise l'accès. 116 Normes relatives aux terminaux Créer un profil de filtre de contenu Web Lorsque vous créez un profil de filtre de contenu Web, chaque URL que vous spécifiez doit commencer par http:// ou https://. Si nécessaire, vous devez ajouter des entrées distinctes pour les versions http:// ou https:// d'une même URL. La résolution DNS n'intervient pas et dès lors, les sites Web limités restent accessibles (par exemple, si vous spécifiez http://www.exemple.com, les utilisateurs seront peut-être en mesure d'accéder au site Web à l'aide de leur adresse IP). 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil de filtre de contenu Web. 4. Effectuez l'une des tâches suivantes : en regard de Filtre de contenu Web. Tâche Étapes Autoriser l'accès à des sites Web spécifiques uniquement 1. Dans la liste déroulante Sites Web autorisés, vérifiez que le paramètre Sites Web spécifiques uniquement est sélectionné. 2. Dans la section Signets de sites Web spécifiques, cliquez sur 3. Procédez comme suit : Limiter le contenu pour adultes . a Dans le champ URL, saisissez l'adresse Web dont vous souhaitez autoriser l'accès. b Dans le champ Chemin du signet, vous pouvez également saisir le nom d'un dossier de signets (par exemple, /Work/). c Dans le champ Titre, saisissez le nom du site Web. d Cliquez sur Ajouter. 4. Répétez les étapes 2 et 3 pour chaque site Web autorisé. 1. Dans la liste déroulante Sites Web autorisés, cliquez sur Limiter le contenu pour adultes pour activer le filtrage automatique. 2. Vous pouvez également procéder comme suit : 3. a Cliquez sur b Saisissez l'adresse Web dont vous souhaitez autoriser l'accès. c Répétez les étapes 2.a et 2.b pour chaque site Web autorisé. en regard de URL autorisées. Vous pouvez également procéder comme suit : a Cliquez sur b Saisissez l'adresse Web dont vous souhaitez refuser l'accès. 117 en regard de URL non autorisées. Normes relatives aux terminaux Tâche Étapes c 5. Répétez les étapes 3.a et 3.b pour chaque site Web limité. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Limiter les terminaux à une application Sur les terminaux iOS supervisés ou les terminaux Android gérés à l'aide de KNOX MDM, vous pouvez utiliser un profil du mode de verrouillage des applications pour limiter les terminaux à une seule application. Par exemple, vous pouvez limiter l'accès à une seule application pour les formations ou les démonstrations en points de vente. Sur les terminaux iOS, le bouton d'accueil d'un terminal est désactivé et le terminal ouvre automatiquement l'application lorsque l'utilisateur sort le terminal de veille ou le redémarre. Créer un profil du mode de verrouillage Spécifiez une seule application à exécuter sur les terminaux, puis sélectionnez les paramètres de terminal que vous souhaitez activer pour l'utilisateur. Pour les terminaux iOS supervisés, vous pouvez sélectionner une application dans la liste des applications, spécifier l'identifiant d'offre de l'application ou sélectionner une application intégrée. Pour les terminaux Android gérés à l'aide de KNOX MDM, spécifiez l'identifiant du package d'application que vous souhaitez définir en tant qu'écran d'accueil. Remarque: si l'utilisateur n'installe pas l'application sur un terminal, lors de l'attribution du profil à un utilisateur ou à un groupe d'utilisateurs, le terminal n'est pas limité à l'application. Avant de commencer: pour les terminaux iOS, si vous prévoyez d'utiliser la liste des applications pour sélectionner une application, vérifiez qu'elle y est bien disponible. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. 4. Spécifiez si le profil s'applique aux terminaux iOS, aux terminaux Android, voire les deux. 5. Effectuez l'une des tâches suivantes : en regard de Mode de verrouillage des applications. 118 Normes relatives aux terminaux Tâche Étapes Spécifier l'application à exécuter sur les terminaux iOS Dans la section Spécifier l'application à exécuter sur le terminal, effectuez l'une des opérations suivantes : Spécifier l'application à exécuter sur les terminaux Android • Cliquez sur Ajouter une application, puis sur une application de la liste. • Cliquez sur Spécifier l'ID d'offre d'une application et saisissez l'ID d'offre (par exemple, <com.company.appname >). Vous pouvez utiliser les majuscules, les minuscules, les chiffres de 0 à 9, le tiret (-) et le point (.). • Cliquez sur Sélectionner une application iOS intégrée et sélectionnez une application dans la liste déroulante. Dans le champ Spécifier l'application à exécuter sur le terminal, saisissez l'identifiant du package d'application que vous souhaitez définir en tant qu'écran d'accueil. Par exemple, si vous souhaitez BBM Meetings comme application, saisissez com.blackberry.bbm.meetings. 6. Dans Paramètres administrateur, sélectionnez les options que vous souhaitez activer pour l'utilisateur lors de l'utilisation de l'application. 7. Pour les terminaux iOS, dans Paramètres utilisateur, sélectionnez les options que l'utilisateur peut activer. 8. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Ajouter une application iOS à la liste des applications, à la page 160 Contrôle des versions du logiciel que les utilisateurs peuvent installer sur les terminaux BlackBerry 10 Pour les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure activés avec Travail et Personnel - Régulé ou Espace Travail uniquement, vous avez la possibilité de limiter les versions du logiciel que les terminaux BlackBerry 10 peuvent installer à l'aide du profil de restrictions SR des terminaux. Vous pouvez également ajouter des exceptions aux paramètres 119 Normes relatives aux terminaux globaux pour certains modèles de terminaux spécifiques. Par exemple, vous pouvez tester une version de logiciel avant de l'utiliser dans votre organisation. Pour appliquer une action particulière en cas d'installation d'une version restreinte du logiciel sur un terminal, vous devez créer un profil de conformité et l'attribuer aux utilisateurs, groupes d'utilisateurs ou groupes de terminaux. Le profil de conformité spécifie les actions que seront prises si l'utilisateur ne supprime pas la version restreinte du logiciel du terminal. Créer un profil de la configuration logicielle minimale requise du terminal Avant de commencer: Créez ou modifiez un profil de conformité définissant les actions prises si une application limitée est installée sur un terminal. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Pour afficher la liste de toutes les versions logicielles des terminaux BlackBerry 10 ainsi que le fournisseur de services, le modèle de terminal, l'ID de matériel, la version du logiciel et les informations d'état de révocation correspondants, cliquez sur Afficher la liste des versions du logiciel des terminaux. 4. Saisissez le nom et la description du profil. 5. Cochez la case Mise à jour requise pour contraindre les utilisateurs à mettre à jour leurs terminaux vers une version du logiciel définie dans le profil. 6. Dans le champ Période de grâce, saisissez le laps de temps, en heures, pouvant s'écouler avant que les utilisateurs doivent mettre à jour leurs terminaux. Si les utilisateurs ne mettent pas à jour leurs terminaux durant la période de grâce ou si vous définissez la période de grâce sur 0, la mise à jour du logiciel est automatiquement installée sur les terminaux. 7. Dans la liste déroulante Version minimale du logiciel, sélectionnez la version minimale du logiciel qu'un terminal BlackBerry 10 doit exécuter. 8. Dans la liste déroulante Version maximale du logiciel, sélectionnez la version maximale du logiciel qu'un terminal BlackBerry 10 doit exécuter. 9. Pour ignorer le paramètre global d'un modèle de terminal, procédez comme suit : en regard des Configuration logicielle minimale requise du terminal. a. Dans le tableau Exceptions, cliquez sur b. Dans la liste déroulante Disposition, sélectionnez si vous souhaitez autoriser ou interdire des versions du logiciel. Si vous spécifiez une plage interdite et n'avez pas spécifié de plage autorisée pour un modèle de terminal, une deuxième colonne apparait pour vous permettre de le faire. Si une plage autorisée n'est pas spécifiée, les paramètres globaux ne s'appliquent plus au modèle de terminal et toutes les versions du logiciel, sauf l'exception, sont automatiquement autorisées. c. Dans la liste déroulante Modèle de terminal, sélectionnez le modèle de terminal pour lequel vous souhaitez définir l'exception. . 120 Normes relatives aux terminaux d. Dans la liste déroulante Minimale, sélectionnez la version minimale du logiciel que vous souhaitez autoriser ou interdire. e. Dans la liste déroulante Maximale, sélectionnez la version maximale du logiciel que vous souhaitez autoriser ou interdire. f. Si vous avez interdit une version du logiciel, sélectionnez la version minimale du logiciel que vous souhaitez autoriser. g. Si vous avez interdit une version du logiciel, sélectionnez la version maximale du logiciel que vous souhaitez autoriser. 10. Cliquez sur Enregistrer. 11. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribution de profils, à la page 48 Comment BES12 choisit les profils à attribuer, à la page 50 Afficher les utilisateurs exécutant une version annulée du logiciel Vous pouvez afficher la liste des utilisateurs qui exécutent une version annulée du logiciel. Une version annulée du logiciel correspond à une version du logiciel qui n'est plus acceptée par un fournisseur de services, mais peut toujours être installée sur le terminal de l'utilisateur. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Configuration logicielle minimale requise du terminal. 3. Cliquez sur le nom du profil que vous souhaitez afficher. 4. Cliquez sur l'onglet x utilisateurs exécutant une SR annulée pour afficher la liste des utilisateurs qui exécutent une version annulée du logiciel. Gestion des domaines de messagerie et des domaines Web pour les terminaux iOS 8 Vous pouvez créer un profil de domaines gérés pour définir les domaines de messagerie et domaines Web pour les terminaux iOS exécutant iOS 8 ou version ultérieure. Remarque: ce profil affecte uniquement le comportement du terminal si celui-ci est activé avec le type d'activation Contrôles MDM. 121 Normes relatives aux terminaux Le tableau suivant décrit les effets d'un ajout de domaines de messagerie et de domaines Web à ce profil : Type de domaine Description Domaine de messagerie Les domaines de messagerie répertoriés dans le profil des domaines gérés sont considérés comme internes à l'entreprise. Si un utilisateur envoie un e-mail à partir d'un terminal iOS 8 à un domaine de messagerie non répertorié dans le profil des domaines gérés, le terminal avertit l'utilisateur que le destinataire est externe à l'entreprise en surlignant l'adresse électronique en rouge. Le terminal n'empêche pas l'utilisateur d'envoyer des e-mails à des destinataires externes. Domaine Web Les domaines Web répertoriés dans le profil des domaines gérés sont considérés comme internes à l'entreprise. Les documents affichés ou téléchargés depuis un domaine Web géré peuvent être ouverts sur le terminal iOS 8 à l'aide d'une application gérée. Le terminal n'empêche pas l'utilisateur de consulter des documents issus d'autres domaines Web. Créer un profil de domaines gérés Avant de commencer: • Les profils de domaines gérés s'appliquent uniquement aux terminaux iOS exécutant iOS 8 ou version ultérieure. • Les profils de domaines gérés s'appliquent uniquement aux terminaux avec le type d'activation Contrôles MDM. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Dans le champ Nom, saisissez le nom du profil. 4. Dans le champ Description, tapez la description du profil. 5. Dans la section Domaines de messagerie gérés, cliquez sur 6. Dans le champ Domaine de messagerie, saisissez un nom de domaine. en regard de Domaines gérés. . Indiquez uniquement le nom de domaine du niveau supérieur. Par exemple, utilisez example.com plutôt que example.com/canada. 7. Cliquez sur Ajouter. 8. Dans la section Domaines Web gérés, cliquez sur 9. Dans le champ Domaine Web, saisissez un nom de domaine. . 10. Cliquez sur Ajouter. 11. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 122 Normes relatives aux terminaux Attribuer un profil à un compte d'utilisateur, à la page 222 Configuration des domaines autorisés et limités sur les terminaux avec espace Travail Pour aider à prévenir la fuite de données, vous pouvez configurer les domaines accessibles aux utilisateurs depuis la messagerie, le calendrier et les données de l'organiseur de l'espace Travail des terminaux iOS et Android. • Si vous configurez une liste de domaines autorisés, les utilisateurs peuvent accéder aux domaines autorisés sans restrictions. Par exemple, ils peuvent cliquer sur les liens menant aux domaines ou ajouter des destinataires avec adresses électroniques aux domaines pour envoyer des e-mails ou des invitations de calendrier. Si un domaine donné ne se trouve pas sur la liste des domaines autorisés, l'application affiche un message d'avertissement lorsqu'un utilisateur tente d'y accéder. Si l'utilisateur sélectionne OK, il peut accéder au domaine. • Si vous configurez une liste limitée de domaines, les utilisateurs ne peuvent pas accéder aux domaines de cette liste. S'ils cliquent sur des liens menant aux domaines ou tentent d'ajouter des destinataires avec adresses électroniques aux domaines, l'application affiche un message d'erreur et ne permet pas aux utilisateurs de mener à bien cette opération. Un utilisateur peut accéder aux domaines non répertoriés sur la liste limitée. Remarque: pour les terminaux BlackBerry 10, vous pouvez configurer les domaines autorisés et limités à l'aide des règles de stratégie informatique « Liste autorisée des domaines de messagerie externes » et « Liste limitée des domaines de messagerie externes ». Pour plus d'informations, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/ bes12-cloud/current/policy-reference-spreadsheet-zip/. Configurer les domaines autorisés et limités dans l'espace Travail 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Sélectionnez le profil de messagerie que vous souhaitez modifier. 3. Cliquez sur 4. Cliquez sur l'onglet iOS ou Android. 5. Dans la section Domaines de messagerie externes, ajoutez les domaines que vous souhaitez autoriser et les domaines que vous souhaitez limiter. 6. Cliquez sur Enregistrer. . Informations connexes iOS : paramètres de profil de messagerie, à la page 299 Android : paramètres de profil de messagerie, à la page 304 123 Normes relatives aux terminaux Création d'avis d'entreprise à afficher sur les terminaux Vous pouvez configurer BES12 de manière à afficher les avis d'organisation personnalisés sur les terminaux BlackBerry 10, iOS, OS X, Android ou Windows 10. Par exemple, lors de l'activation vous pouvez choisir d'afficher les conditions qu'un utilisateur doit suivre pour se conformer aux exigences de sécurité de l'entreprise. L'utilisateur doit accepter l'avis pour continuer le processus d'activation. Vous pouvez créer plusieurs avis pour couvrir différents besoins et créer des versions distinctes de chaque avis pour prendre en charge différentes langues. Pour les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure, vous pouvez également configurer BES12 pour afficher un avis d'entreprise lorsqu'un utilisateur redémarre un terminal. Quand afficher l'avis d'entreprise Comment configurer l'avis d'entreprise À l'activation Créez un avis d'entreprise et attribuez-le à un profil d'activation. Pour modifier l'avis qui s'affiche lors de l'activation, vous devez mettre à jour le profil d'activation, puis réactiver le terminal. Au redémarrage pour les terminaux BlackBerry 10 Créez un avis d'entreprise et attribuez-le dans l'onglet BlackBerry du profil d'un terminal. Vérifiez que la règle de stratégie informatique « Afficher l'avis d'entreprise après redémarrage du terminal » est sélectionnée. Pour modifier l'avis qui s'affiche au redémarrage du terminal, vous devez mettre à jour le profil du terminal. Remarque: la règle de stratégie informatique s'applique uniquement aux types d'activation « Espace Travail uniquement » et « Travail et Personnel - Régulé » des terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure. Créer des avis d'entreprise 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Paramètres généraux. 3. Cliquez sur Avis d'entreprise. 4. Cliquez sur 5. Dans le champ Nom, saisissez le nom de l'avis d'entreprise. 6. Vous pouvez également réutiliser le texte d'un avis d'entreprise existant en le sélectionnant dans la liste déroulante Texte copié à partir d'un avis d'entreprise. 7. Dans la liste déroulante Langue du terminal, sélectionnez la langue à utiliser par défaut pour l'avis d'entreprise. 8. Dans le champ Avis d'entreprise, saisissez le texte de l'avis d'entreprise. située à droite de l'écran. 124 Normes relatives aux terminaux 9. Vous pouvez également cliquer plusieurs fois sur Ajouter une langue supplémentaire pour publier l'avis d'entreprise dans plusieurs langues. 10. Si vous publiez l'avis d'entreprise dans plusieurs langues, sélectionnez l'option Langue par défaut sous l'un des messages pour le définir en tant que langue par défaut. 11. Cliquez sur Enregistrer. À la fin: • Pour afficher l'avis d'organisation pendant l'activation, attribuez l'avis d'organisation à un profil d'activation. • Pour afficher l'avis d'organisation lorsqu'un terminal BlackBerry 10 redémarre, attribuez l'avis d'organisation à un profil de terminal et sélectionnez l'option de stratégie informatique « Afficher l'avis d'organisation après le redémarrage du terminal ». Affichage des informations d'entreprise sur les terminaux Vous pouvez créer des profils de terminaux pour afficher des informations relatives à votre entreprise sur les terminaux. Pour BlackBerry 10, un avis d'entreprise s'affiche lorsqu'un utilisateur redémarre le terminal. Pour iOS, les informations sur l'entreprise s'affichent dans l'application Good for BES12. Pour Android et Windows Phone, les informations sur l'entreprise s'affichent dans BES12 Client sur le terminal. Pour Windows 10, le numéro de téléphone et l'adresse électronique sont indiqués dans les informations d'assistance technique du terminal. Pour les terminaux BlackBerry 10 et iOS, vous pouvez ajouter une image de fond d'écran personnalisée à l'espace Travail pour afficher des informations destinées à vos utilisateurs. Par exemple, vous pouvez créer une image affichant vos informations de contact, informations de site Web interne ou le logo de votre entreprise. Créer un profil de terminal Avant de commencer: Pour les terminaux BlackBerry 10, créez des avis d'entreprise. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. Chaque profil de terminal doit avoir un nom unique. 4. Effectuez l'une des tâches suivantes : en regard de Terminal. 125 Normes relatives aux terminaux Tâche Étapes Attribuer un avis d'entreprise à afficher 1. sur les terminaux BlackBerry 10 au 2. redémarrage du terminal PouriOS, définissez les informations de 1. l'entreprise qui doivent s'afficher dans 2. l'applicationGood for BES12. Cliquez sur BlackBerry. Dans la liste déroulante Attribuer un avis d'entreprise, sélectionnez l'avis d'entreprise vous que vous souhaitez afficher sur les terminaux. Cliquez suriOS,AndroidouWindows. Saisissez le nom, l'adresse, le numéro de téléphone et l'adresse électronique de votre organisation. PourAndroidouWindows Phone, définissez les informations de l'entreprise qui doivent s'afficher dansBES12 Client. PourWindows 10, définissez le numéro de téléphone et l'adresse électronique à afficher dans les informations d'assistance sur les terminaux. 5. Si nécessaire, effectuez les opérations suivantes : Tâche Étapes Ajoutez une image de fond d'écran à l'espace Travail sur les terminaux BlackBerry 10 1. Cliquez sur BlackBerry. 2. Dans la section Fond d'écran de l'espace Travail, cliquez sur Parcourir. 3. Sélectionnez l'image que vous souhaitez utiliser comme fond d'écran. 4. Cliquez sur Ouvrir. 1. Cliquez sur iOS. 2. Dans la section Fond d'écran de l'espace Travail, cliquez sur Parcourir. 3. Sélectionnez l'image que vous souhaitez utiliser comme fond d'écran. 4. Cliquez sur Ouvrir. 5. Dans le champ Définir le fond d'écran pour, sélectionnez l'endroit où vous voulez que le fond d'écran s'affiche. Ajoutez une image de fond d'écran à l'espace Travail sur les terminaux iOS 6. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 126 Normes relatives aux terminaux Attribuer un profil à un compte d'utilisateur, à la page 222 Création d'icônes Web pour les terminauxiOS et les terminauxOS X Vous pouvez utiliser un profil d'icône Web pour créer une icône Web personnalisée qui s'affiche sur les terminaux des utilisateurs. Par exemple, vous pouvez créer une icône Web personnalisé fournissant un raccourci vers le site Web interne de l'entreprise. Pour chaque profil d'icône web, vous pouvez configurer les attributs suivants : • Adresse Web qui s'ouvre lorsque l'utilisateur sélectionne l'icône Web • Apparence de l'icône Web, image et libellé notamment • Possibilité pour les utilisateurs de supprimer l'icône Web de leurs terminaux • Possibilité pour l'adresse Web de s'ouvrir en plein écran sur les terminaux des utilisateurs OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils d'icône Web sont appliqués aux comptes d'utilisateur. Ajouter un profil d'icône Web Vous devez créer un profil d'icône Web profil pour chaque icône Web à afficher sur les terminaux des utilisateurs. Si un utilisateur supprime l'icône Web de son terminal et souhaite la restaurer, vous devez supprimer et réattribuer ce profil d'icône Web à l'utilisateur. Si vous décochez la case Ouvrir l'icône Web en tant qu'application plein écran, l'adresse Web s'ouvre dans un navigateur. Remarque: les profils d'icône Web ne sont pas pris en charge sur les terminaux dotés du type d'activation « Travail et Personnel - Confidentialité de l'utilisateur ». Avant de commencer: vérifiez que l'image que vous prévoyez d'utiliser pour l'icône Web répond aux exigences suivantes : • Format d'image de type .png, .jpg ou .jpeg. • Évitez d'utiliser des images .png présentant des éléments transparents. Les éléments transparents s'afficheront en noir sur le terminal. • Pour connaitre les tailles recommandées des images, rendez-vous sur developer.apple.com. et consultez la rubrique Tailles des icônes et des images. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil d'icône Web. Le nom est utilisé en tant que libellé pour l'icône Web. 4. Cliquez sur Parcourir. Localisez et sélectionnez une image pour l'icône Web. Les formats d'image pris en charge sont les suivants : .png, .jpg ou .jpeg. en regard de Icône Web. 127 Normes relatives aux terminaux 5. Dans le champ URL, saisissez l'adresse Web qui s'ouvre lorsque les utilisateurs sélectionnent l'icône Web. L'adresse Web doit commencer par http:// ou https://. Sur les terminaux dotés du type d'activation « Travail et Personnel - Contrôle total », vous pouvez utiliser une adresse Web commençant par sec-connect:// ou sec-se connects:// pour ouvrir le site Web dans le navigateur de l'espace Travail. 6. Pour permettre aux utilisateurs de supprimer l'icône Web depuis l'écran d'accueil de leurs terminaux, cochez la case Autoriser les utilisateurs à supprimer. 7. Pour activer l'adresse Web en plein écran sur les terminaux des utilisateurs, vérifiez que la case Ouvrir l'icône Web en tant qu'application plein écran est cochée. 8. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Utilisation des services de localisation sur les terminaux Un profil de service de localisation vous permet de demander l'emplacement de terminaux et d'afficher leur emplacement approximatif sur une carte. Vous pouvez également permettre aux utilisateurs de localiser leurs terminaux à l'aide de BES12 Self-Service. Si vous activez l'historique de localisation des terminaux iOS et Android, les terminaux doivent donner périodiquement des informations sur leur emplacement et les administrateurs peuvent afficher l'historique de localisation. Les profils de service de localisation utilisent les services de localisation sur les terminaux iOS, Android et Windows 10 Mobile. Selon le terminal et les services disponibles, les services de localisation peuvent utiliser les informations des réseaux GPS, cellulaires et Wi-Fi pour déterminer l'emplacement du terminal. Configurer les paramètres du service de localisation Vous pouvez configurer les paramètres des profils de service de localisation, tels que l'unité de vitesse qui s'affiche pour un terminal lorsque vous affichez son emplacement sur une carte. Si vous activez l'historique de localisation pour les terminaux iOS et Android,BES12 conserve l'historique pendant 1 mois par défaut. 1. Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux > Service de localisation. 2. Dans la liste déroulante Unité de vitesse affichée, cliquez sur km/h ou mph . 3. Cliquez sur Enregistrer. 128 Normes relatives aux terminaux Créer un profil de service de localisation Vous pouvez attribuer un profil de service de localisation aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Les utilisateurs doivent accepter le profil pour que la console de gestion ou BES12 Self-Service puisse afficher l'emplacement de terminaux iOS et Android sur une carte.Les terminaux Windows 10 Mobile acceptent automatiquement le profil. Avant de commencer: Configurer les paramètres du service de localisation 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil de service de localisation. 4. Vous pouvez également décocher la case correspondant aux types de terminaux pour lesquels vous ne souhaitez pas configurer le profil. 5. Effectuez l'une des tâches suivantes : en regard du Service de localisation. Tâche Étapes Activer l'historique de localisation des terminaux iOS 1. Dans l'onglet iOS, vérifiez que la case Consigner l'historique de localisation du terminal est cochée. Remarque: BES12 enregistre l'emplacement du terminal toutes les heures et signale dans la mesure du possible les changements significatifs d'emplacement du terminal (un déplacement de 500 mètres ou plus, par exemple). Activer l'historique de localisation des terminaux Android 1. Dans l'onglet Android, vérifiez que la case Consigner l'historique de localisation du terminal est cochée. 2. Dans le champ Distance de vérification de la localisation d'un terminal, indiquez la distance minimale du déplacement d'un terminal avant que son emplacement soit mis à jour. 3. Dans le champ Fréquence de mise à jour de la localisation, indiquez la fréquence à laquelle l'emplacement du terminal est mis à jour. Remarque: Les conditions de distance et de fréquence doivent être remplies avant que l'emplacement du terminal soit mis à jour. 6. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 129 Normes relatives aux terminaux Localiser un terminal, à la page 285 Gestion des fonctionnalités iOS à l'aide des profils de charge utile personnalisée Vous pouvez utiliser des profils de charge utile personnalisée pour contrôler les fonctionnalités sur les terminaux iOS qui ne sont pas contrôlés par les règles ou profils BES12 existants. Remarque: Si une fonction est commandée par une stratégie ou un profil BES12 existant, un profil de charge utile personnalisée peut ne pas fonctionner comme prévu. Vous devez utiliser les stratégies ou profils existants chaque fois que cela est possible. Vous pouvez créer des profils de configuration Apple à l'aide d'Apple Configurator et les ajouter aux profils de charge utile personnalisée BES12. Vous pouvez affecter les profils de charge utile personnalisée aux utilisateurs, aux groupes d'utilisateurs et aux groupes de terminaux. • Contrôlez une fonctionnalité iOS existante qui n'est pas comprise dans les politiques et les profils BES12. Par exemple, avec BES10, l'assistant du PDG a pu accéder à la fois à son propre compte de messagerie et au compte du PDG sur un iPhone. Dans BES12, vous pouvez attribuer un seul profil de messagerie à un terminal, de sorte que l'assistant peut uniquement accéder à son propre compte de messagerie. Pour résoudre ce problème, vous pouvez attribuer un profil de messagerie pour permettre à l'iPhone de l'assistant d'accéder au compte de messagerie de l'assistant et un profil personnalisé pour permettre à l'iPhone de l'assistant d'accéder au compte de messagerie du PDG. • Contrôlez une nouvelle fonctionnalité iOS, lancée après la dernière version du logiciel BES12. Par exemple, vous souhaitez contrôler une nouvelle fonctionnalité qui sera disponible sur les terminaux lors de leur mise à niveau à iOS 9, mais BES12 ne dispose pas encore d'un profil pour cette nouvelle fonction, jusqu'à la prochaine version du logiciel BES12. Pour résoudre ce problème, vous pouvez créer un profil de charge utile personnalisée qui contrôle cette fonction jusqu'à la prochaine version du logiciel BES12. Création d'un profil de charge utile personnalisée Avant de commencer: Téléchargez et installez la dernière version d'Apple Configurator d'Apple. 1. Dans Apple Configurator, créez un profil de configuration Apple. 2. Dans la console de gestion BES12, cliquez sur Règles et profils. 3. Cliquez sur Ajouter un profil de charge utile personnalisée. 4. Dans le champ Nom, saisissez le nom du profil. 130 Normes relatives aux terminaux 5. Dans le champ Description, saisissez la description de la fonction du profil. 6. Dans Apple Configurator, copiez le code XML pour le profil de configuration Apple. Lorsque vous copiez le texte, copiez uniquement les éléments en caractères gras, comme illustré dans l'exemple de code suivant. <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/ PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadContent</key> <array> <dict> <key>CalDAVAccountDescription</key> <string>CalDAV Account Description</string> <key>CalDAVHostName</key> <string>caldav.server.example</string> <key>CalDAVPort</key> <integer>8443</integer> <key>CalDAVPrincipalURL</key> <string>Principal URL for the CalDAV account</string> <key>CalDAVUseSSL</key> </true> <key>CalDAVUsername</key> <string>Username</string> <key>PayloadDescription</key> <string>Configures CalDAV account.</string> <key>PayloadDisplayName</key> <string>CalDAV (CalDAV Account Description)</string> <key>PayloadIdentifier</key> <string>.caldav1</string> <key>PayloadOrganization</key> <string></string> <key>PayloadType</key> <string>com.apple.caldav.account</string> <key>PayloadUUID</key> <string>9ADCF5D6-397C-4E14-848D-FA04643610A3</string> <key>PayloadVersion</key> <integer>1</integer> </dict> </array> <key>PayloadDescription</key> <string>Profile description.</string> <key>PayloadDisplayName</key> <string>Profile Name</string> <key>PayloadOrganization</key> <string></string> <key>PayloadRemovalDisallowed</key> <false/> <key>PayloadType</key> <string>Configuration</string> <key>PayloadUUID</key> <string>7A5F8391-5A98-46EA-A3CF-C0D6EDC74632</string> <key>PayloadVersion</key> <integer>1</integer> </dict> </plist> 131 Normes relatives aux terminaux 7. Dans le champ Charge utile personnalisée, collez le code XML d'Apple Configurator. 8. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Créer un profil AirPrint Vous pouvez configurer des profils AirPrint et les affecter à des terminaux qui exécutent iOS 7 ou version ultérieure afin que les utilisateurs n'aient pas besoin de configurer les imprimantes manuellement.Les profils AirPrint peuvent aider les utilisateurs à trouver les imprimantes qui prennent en charge AirPrint, qui sont accessibles, et pour lesquelles ils disposent des autorisations requises. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Tapez le nom et la description du profil AirPrint. 4. Dans la section Configuration d'AirPrint, cliquez sur 5. Dans le champ Adresse IP, saisissez l'adresse IP de l'imprimante ou du serveur AirPrint. 6. En option, dans le champ Chemin de ressource, saisissez le chemin de ressource de l'imprimante. Le chemin de ressource de l'imprimante correspond au paramètre rp du dossier Bonjour _ipps.tcp. Par exemple : en regard d'AirPrint. • printers/<gamme de l'imprimante> • printers/<modèle de l'imprimante> • ipp/print • IPP_Printer 7. Cliquez sur Ajouter. 8. Cliquez sur Ajouter. . Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 132 Normes relatives aux terminaux Configuration de profils AirPlay pour les terminaux iOS Vous pouvez configurerAirPlay les profils et les affecter à des dispositifs qui fonctionnent sous iOS 7 ou version ultérieure. AirPlay est une fonctionnalité iOS qui vous permet d'afficher des photos ou de diffuser de la musique et des vidéos vers des terminaux AirPlay compatibles, tels que Apple TV, AirPort Express ou des haut-parleurs compatibles AirPlay. Avec un profil AirPlay, vous pouvez définir des mots de passe pour des terminaux AirPlay spécifiques afin de vous assurer que seuls les utilisateurs autorisés peuvent y accéder. Vous pouvez également créer une liste autorisée de terminaux de destination pour vous assurer que les terminaux iOS supervisés ne peuvent se connecter qu'aux terminaux AirPlay que vous spécifiez. Vous pouvez attribuer des profils AirPlay à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Exemple : Définir un mot de passe pour un terminal AirPlay Si vous souhaitez limiter l'accès à un terminal AirPlay spécifique, ajoutez le nom du terminal et définissez un mot de passe.Les utilisateurs du terminal iOS possédant ce profil AirPlay devront saisir le mot de passe pour accéder à ce terminal AirPlay. Notez que le mot de passe est requis par le profil AirPlay, et non par le terminal AirPlay lui-même.Les utilisateurs de terminaux iOS qui ne disposent pas de ce profil AirPlay peuvent toujours accéder au terminal AirPlaysans le mot de passe. Exemple : Créer une liste de terminaux AirPlay pour terminaux iOS supervisés Si vous souhaitez autoriser les terminaux iOS supervisés à diffuser du contenu uniquement sur certains terminaux, vous pouvez ajouter l'ID du terminal. Les terminaux supervisés ne seront en mesure de diffuser du contenu que sur les terminaux que vous spécifiez. Les terminaux qui ne sont pas supervisés ne seront pas affectés par cette liste. Créer un profil AirPlay 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Tapez le nom et la description du profil AirPlay. 4. Cliquez sur 5. Dans le champ Nom du terminal, saisissez le nom du terminal AirPlay que vous souhaitez ajouter. Vous pouvez trouver le nom du terminal AirPlay dans les paramètres du terminal ou vous pouvez rechercher le nom du terminal en sélectionnant AirPlay dans le centre de contrôle d'un terminal iOS pour afficher la liste des terminaux AirPlay disponibles autour de vous. 6. Dans le champ Mot de passe, saisissez un mot de passe. en regard d'AirPlay. dans la section Terminaux de destination autorisés. 133 Normes relatives aux terminaux 7. Cliquez sur Ajouter. 8. Cliquez sur 9. Dans le champ ID du terminal, saisissez l'ID du terminal AirPlay que vous souhaitez ajouter. Vous trouverez l'ID du terminal AirPlay dans ses paramètres. Pour plus d'informations sur la recherche de l'ID du terminal, reportez-vous à la documentation de votre produit Apple. dans la section Terminaux de destination autorisés pour les terminaux supervisés. 10. Cliquez sur Ajouter. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 Contrôle de l'utilisation du réseau pour les applications professionnelles sur les terminaux iOS Vous pouvez utiliser un profil d'utilisation du réseau pour contrôler la façon dont les applications professionnelles sur des terminaux exécutant iOS 9 ou version ultérieure utilisent le réseau mobile. Pour mieux gérer l'utilisation du réseau, vous pouvez empêcher les applications de transférer des données lorsque des terminaux sont connectés au réseau mobile ou lorsque des terminaux sont en itinérance. Vous pouvez spécifier les mêmes règles d'utilisation du réseau pour toutes les applications professionnelles, ou vous pouvez spécifier les règles pour certaines applications professionnelles. Un profil d'utilisation de réseau peut contenir des règles pour une ou plusieurs applications. Si vous ne spécifiez pas d'applications dans le profil, les règles sont appliquées à toutes les applications professionnelles. Créer un profil d'utilisation du réseau Les règles dans un profil d'utilisation de réseau s'appliquent aux applications professionnelles seulement. Si vous n'avez pas attribué d'applications à des utilisateurs ou groupes, le profil d'utilisation du réseau ne possède pas d'effet. Avant de commencer: ajoutez des applications à la liste d'applications et attribuez-les aux groupes d'utilisateurs ou aux comptes d'utilisateurs. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. 4. Cliquez sur 5. Effectuez l'une des opérations suivantes : en regard d'Utilisation du réseau. pour ajouter un ID de package d'application. 134 Normes relatives aux terminaux • Pour appliquer les paramètres de profil à toutes les applications professionnelles, laissez le champ ID de package d'application vide. • Pour appliquer les paramètres du profil à des applications spécifiques, tapez l'ID de package d'application. L'ID de package d'application est également connu en tant qu'ID de pack. Vous pouvez trouver l'ID de package de l'application en cliquant sur l'application dans la liste des applications. Utilisez un caractère générique (*) pour mettre en correspondance l'ID avec plusieurs applications (par exemple, com.company.*). 6. Pour empêcher l'application ou les applications d'utiliser des données lorsque le terminal est en itinérance, décochez la case Autoriser l'itinérance des données. 7. Pour empêcher l'application ou les applications d'utiliser des données lorsque le terminal est connecté au réseau mobile, décochez la case Autoriser les données cellulaires. 8. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 135 Stratégies informatiques Stratégies informatiques 9 Vous pouvez utiliser des stratégies informatiques pour gérer la sécurité et le comportement des terminaux de votre organisation. Une stratégie informatique est un ensemble de règles qui contrôlent des fonctions et fonctionnalités sur des terminaux. Vous pouvez configurer des règles pour les terminaux BlackBerry 10, iOS, OS X, Android et Windows dans la même stratégie informatique. Le système d'exploitation du terminal dresse la liste des fonctions qui peuvent être contrôlées à l'aide de stratégies informatiques, et le type d'activation du terminal détermine les règles de stratégie informatique qui s'appliquent à un terminal spécifique. Les terminaux ignorent les règles de stratégie informatique qui ne les concernent pas. BES12 inclut une stratégie informatique par défaut dotée de règles préconfigurées pour chaque type de terminal. Si aucune stratégie informatique n'est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel appartient un utilisateur ou un groupe de terminaux auquel appartiennent les terminaux d'un utilisateur, BES12 envoie la stratégie informatique par défaut aux terminaux de l'utilisateur. BES12 envoie automatiquement une stratégie informatique IT à un terminal lorsqu'un utilisateur l'active, lorsque vous mettez à jour une stratégie informatique attribuée ou lorsqu'une stratégie informatique différente est attribuée à un compte d'utilisateur ou à un terminal. Pour plus d'informations sur les règles de stratégie informatique pour chaque type de terminal, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/ Étapes à suivre pour gérer des stratégies informatiques Pour gérer des stratégies informatiques, procédez comme suit : Étape Action Consultez la stratégie informatique par défaut et, si nécessaire, procédez à des mises à jour. Vous pouvez également créer des stratégies informatiques personnalisées. Si nécessaire, classez les stratégies informatiques. Si vous créez des stratégies informatiques personnalisées, attribuez-les à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. 136 Stratégies informatiques Limiter ou autoriser les fonctionnalités du terminal Lorsque vous configurez des règles de stratégie informatique, vous pouvez limiter ou autoriser les fonctionnalités du terminal. Les règles de stratégie informatique disponibles pour chaque type de terminal dépendent du système d'exploitation et de la version du terminal, ainsi que du type d'activation du terminal. Par exemple, selon le type de terminal et d'activation, vous pouvez utiliser des règles de stratégie informatique pour : • Appliquer des exigences en matière de mot de passe au terminal ou à l'espace Travail d'un terminal • Empêcher les utilisateurs d'utiliser les fonctionnalités du terminal, telles que l'appareil photo • Contrôler les connexions utilisant la technologie sans fil Bluetooth • Contrôler la disponibilité de certaines applications • Exiger le cryptage et d'autres fonctionnalités de sécurité Selon le type d'activation du terminal, vous pouvez utiliser des règles de stratégie informatique pour contrôler l'ensemble du terminal et/ou uniquement l'espace Travail d'un terminal. Pour plus d'informations sur les règles de stratégie informatique pour chaque type de terminal, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/ current/policy-reference-spreadsheet-zip/. Configuration des exigences de mot de passe du terminal Vous pouvez utiliser des règles de stratégie informatique pour définir les exigences de mot de passe pour les terminaux. Vous pouvez définir des exigences de longueur et de complexité du mot de passe, l'expiration du mot de passe et le résultat de tentatives de saisie de mots de passe incorrects. Les rubriques suivantes expliquent les règles de mot de passe qui s'appliquent aux différents terminaux et les types d'activation. Pour plus d'informations sur les règles de stratégie informatique, /téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. Configuration des exigences de mot de passe pour BlackBerry 10 Sur les terminaux BlackBerry 10, les règles de mot de passe affectent le mot de passe de l'espace Travail. Les terminaux "Espace Travail uniquement" doivent avoir un mot de passe et vous pouvez définir les exigences pour ce mot de passe. 137 Stratégies informatiques Vous pouvez choisir si les terminaux "Travail et Personnel - Entreprise" et "Travail et Personnel - Régulé" doivent avoir un mot de passe pour l'espace Travail. Si vous avez besoin d'un mot de passe pour l'espace Travail, vous pouvez définir des exigences minimum pour ce mot de passe, indiquer si le terminal doit également avoir un mot de passe et spécifier si les mots de passe de l'espace Travail et du terminal peuvent ou doivent être les mêmes. Règle Détails Mot de passe requis pour l'espace Travail Spécifiez si les terminaux "Travail et Personnel - Entreprise" et "Travail et Personnel - Régulé" nécessitent un mot de passe pour l'espace Travail. Les terminaux "Espace Travail uniquement" doivent avoir un mot de passe. Longueur minimale du mot de Spécifiez la longueur minimale du mot de passe de l'espace Travail. Le mot de passe doit passe contenir au moins 4 caractères. Complexité minimale du mot de passe Délai de sécurité Spécifiez la complexité minimale des mots de passe de l'espace Travail. Vous pouvez choisir l'une des options suivantes : • Aucune restriction • 1 lettre et 1 chiffre minimum • 1 lettre, 1 chiffre et 1 caractère spécial minimum • 1 lettre majuscule, 1 lettre minuscule, 1 chiffre et 1 caractère spécial minimum • 1 lettre majuscule, 1 lettre minuscule et 1 chiffre minimum Spécifiez la période d'inactivité de l'utilisateur avant le verrouillage de l'espace Travail. Nombre maximum de Spécifiez le nombre de tentatives de saisie du mot de passe possibles avant la réinitialisation tentatives de saisie du mot de de l'espace Travail. Sur les terminaux "Travail et Personnel - Entreprise" et "Travail et passe Personnel - Régulé", si l'espace Travail et le terminal ont le même mot de passe, le terminal est réinitialisé. Historique maximum des mots de passe Spécifiez le nombre de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser de précédents mots de passe pour l'espace Travail. S'il est défini sur 0, le terminal ne vérifie pas les mots de passe précédents. Délai d'expiration du mot de passe Spécifiez le nombre maximum de jours pendant lesquels le mot de passe de l'espace Travail peut être utilisé. S'il est défini sur 0, le mot de passe n'expire pas. Exiger le mot de passe complet du terminal Spécifiez si les terminaux "Travail et Personnel - Entreprise" et "Travail et Personnel - Régulé" nécessitent un mot de passe pour le terminal ainsi que pour l'espace Travail. Définir le comportement des mots de passe de l'espace Travail et du terminal Précisez si le mot de passe de l'espace Travail et le mot de passe du terminal doivent être différents, identiques ou si l'utilisateur peut choisir des mots de passe identiques ou non. 138 Stratégies informatiques Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. Configuration des exigences de mot de passe pour iOS Il existe deux groupes de règles de stratégie informatique pour les mots de passe iOS. Le groupe de règles que vous utilisez dépend du type d'activation du terminal et si vous configurez des exigences pour le mot de passe du terminal ou pour le mot de passe de l'espace Travail. Type d'activation Règles de mot de passe prises en charge Contrôles MDM Utilisez les règles de mot de passe pour définir les exigences du mot de passe du terminal. Le terminal ne dispose pas d'un Espace Travail. Les règles de mot de passe de Secure Work Space sont ignorées par le terminal. Travail et Personnel - Contrôle total (Secure Work Space) Utilisez les règles de mot de passe pour définir les exigences du mot de passe du terminal. Utilisez les règles de mot de passe de Secure Work Space pour définir les exigences de mot de passe pour l'espace Travail. Les règles de mot de passe du terminal n'ont aucun effet sur l'espace Travail et vice versa. Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) Vous n'avez aucun contrôle sur le mot de passe du terminal. Les règles du mot de passe du terminal sont ignorées par le terminal. Utilisez les règles de mot de passe de Secure Work Space pour définir les exigences de mot de passe pour l'espace Travail. iOS : règles de mot de passe du terminal Les règles de mot de passe iOS définissent les exigences de mot de passe des terminaux dotés des types d'activation suivants : • Contrôles MDM • Travail et Personnel - Contrôle total (Secure Work Space) Remarque: les terminaux iOS et certaines des règles de mot de passe du terminal utilisent le terme "code secret". Les termes "mot de passe" et "code secret" ont la même signification. Règle Description Mot de passe requis pour le terminal Spécifiez si l'utilisateur doit définir un mot de passe pour le terminal. 139 Stratégies informatiques Règle Description Accepter les valeurs simples Spécifiez si le mot de passe peut contenir des caractères séquentiels ou répétés, tels que DEFG ou 3333. Exiger des valeurs alphanumériques Spécifiez si le mot de passe doit contenir à la fois des lettres et des chiffres. Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Si vous entrez une valeur inférieure à la valeur passe minimale requise par le terminal iOS, la valeur minimum du terminal est utilisée. Nombre minimal de caractères complexes Spécifiez le nombre minimum de caractères non-alphanumériques que doit contenir le mot de passe. Âge maximal du mot de passe Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé. Verrouillage automatique maximum Spécifiez la valeur maximum à définir par l'utilisateur pour le verrouillage automatique, qui correspond au nombre de minutes d'inactivité à l'issue desquelles le terminal doit se verrouiller. Si vous définissez cette règle sur Aucun, toutes les valeurs prises en charge sont disponibles sur le terminal. Si la valeur sélectionnée se trouve en dehors de la plage prise en charge par le terminal, celui-ci utilisera la valeur la plus proche qu'il prend en charge. Historique des mots de passe Spécifiez le nombre de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser un mot de passe récent. Délai de grâce maximum pour Spécifiez la valeur maximum que l'utilisateur peut définir pour le délai de grâce relatif au le verrouillage du terminal verrouillage du terminal. Il s'agit du délai pendant lequel le terminal peut rester verrouillé avant qu'un mot de passe soit requis pour le déverrouiller. Si vous définissez cette règle sur "Aucun", toutes les valeurs sont disponibles sur le terminal. Si vous définissez cette règle sur "Immédiatement", le mot de passe est requis immédiatement après le verrouillage du terminal. Nombre maximum d'échecs Spécifiez le nombre de tentatives de saisie du mot de passe possibles avant la réinitialisation de tentatives de saisie du mot du terminal. de passe Autoriser les modifications de Spécifiez si l'utilisateur peut ajouter, modifier ou supprimer le mot de passe. mot de passe (sous supervision uniquement) Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. 140 Stratégies informatiques iOS: Secure Work Space règles de mot de passe Les règles de mot de passe de iOS Secure Work Space définissent les exigences de mot de passe de l'espace Travail des terminaux dotés des types d'activation suivants : • Travail et Personnel - Contrôle total (Secure Work Space) • Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) Les terminaux dotés de ces types d'activation doivent avoir un mot de passe pour l'espace Travail. Règle Description Autoriser les mots de passe Spécifiez si le mot de passe peut contenir des caractères séquentiels ou répétés, tels que avec caractères séquentiels et DEFG ou 3333. répétés Lettres requises Spécifiez si le mot de passe doit contenir des lettres. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de lettres que le mot de passe doit contenir. Lettres minuscules requises Spécifiez si le mot de passe doit contenir des lettres minuscules. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de lettres minuscules que le mot de passe doit contenir. Chiffres requis Spécifiez si le mot de passe doit contenir des chiffres. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de chiffres que le mot de passe doit contenir. Caractères spéciaux requis Spécifiez si le mot de passe doit contenir des caractères spéciaux. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de caractères spéciaux que le mot de passe doit contenir. Lettres majuscules requises Spécifiez si le mot de passe doit contenir des lettres majuscules. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de lettres majuscules que le mot de passe doit contenir. Limite de longueur du mot de passe Spécifiez si le mot de passe a une longueur minimale et maximale. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum et maximum de caractères que le mot de passe doit contenir. Délai d'expiration du mot de passe Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé. Passé ce délai, le mot de passe expire et l'utilisateur doit en définir un nouveau. S'il est défini sur 0, le mot de passe n'expire pas. Limite de réutilisation d'anciens mots de passe Précisez si un utilisateur peut réutiliser les mots de passe précédents. Si vous sélectionnez cette règle, spécifiez le nombre de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser un mot de passe récent. 141 Stratégies informatiques Règle Description Verrouiller l'espace Travail au verrouillage du terminal Spécifiez si l'espace Travail doit se verrouiller lorsque le terminal se verrouille pendant que l'utilisateur se trouve dans l'espace Travail. Si cette règle est sélectionnée, lorsqu'un utilisateur se trouve dans l'espace Travail, ce dernier se verrouille immédiatement lorsque l'utilisateur verrouille manuellement le terminal ou après une période d'inactivité plus courte que celle indiquée par le paramètre « Période d'inactivité de l'espace Travail avant son verrouillage » ou le paramètre de verrouillage automatique du terminal. Verrouiller l'espace Travail après son inactivité Spécifiez si l'espace Travail doit se verrouiller à l'issue d'une période d'inactivité dans l'espace Travail. Si cette règle est sélectionnée, lorsqu'un utilisateur se trouve dans l'espace Travail, ce dernier se verrouille après une période d'inactivité plus courte que celle indiquée par le paramètre « Période d'inactivité de l'espace Travail avant son verrouillage » ou, si la règle « Verrouiller l'espace Travail au verrouillage du terminal » est sélectionnée, celle indiquée par le paramètre de verrouillage automatique du terminal. Lorsque l'utilisateur se trouve dans l'espace Personnel, l'espace Travail se verrouille après la période spécifiée dans le paramètre « Verrouiller l'espace Travail après le temps écoulé dans l'espace Personnel ». Si cette règle est sélectionnée et si l'espace Travail se verrouille lorsqu'une application de l'espace Travail est ouverte, le terminal ne se verrouille pas et l'écran ne s'éteint pas. Période d'inactivité de l'espace Travail avant son verrouillage Spécifiez la période d'inactivité dans l'espace Travail qui doit s'écouler avant le verrouillage de l'espace Travail. Verrouiller l'espace Travail après le temps écoulé dans l'espace Personnel Spécifiez la période pendant laquelle l'utilisateur doit rester dans l'espace Personnel avant le verrouillage de l'espace Travail. Limite du nombre de tentatives de mots de passe incorrects Précisez si un terminal limite le nombre de tentative de mot de passe d'un utilisateur de l'espace Travail. Si vous sélectionnez cette règle, spécifiez le nombre de tentatives de saisie de mot de passe possibles et l'action qui se produit lorsque la limite est atteinte. Le terminal peut effectuer l'une des opérations suivantes : • Désactiver l'espace Travail jusqu'à sa restauration par un administrateur • Désactiver le terminal, qui supprime toutes les données de l'espace Travail • Désactiver l'espace Travail et, après un nombre de jours spécifié, désactiver le terminal Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. 142 Stratégies informatiques Configuration des exigences de mot de passe pour Android Il existe quatre groupes de règles de stratégie informatique pour les mots de passe Android. Le groupe de règles que vous utilisez dépend du type d'activation du terminal et si vous configurez des exigences pour le mot de passe du terminal ou pour le mot de passe de l'espace Travail. Type d'activation Règles de mot de passe prises en charge Contrôles MDM Utilisez les règles de mot de passe du système d'exploitation natif pour définir les exigences de mot de passe du terminal. Toutes les autres règles de mot de passe sont ignorées par le terminal. Contrôles MDM (KNOX MDM) Utilisez les règles de mot de passe KNOX MDM pour configurer les exigences de mot de passe du terminal. Toutes les autres règles de mot de passe sont ignorées par le terminal. Espace Travail uniquement (Samsung KNOX) Utilisez les règles de mot de passe de KNOX Premium - Espace Travail pour définir les exigences de mot de passe pour l'espace Travail. Toutes les autres règles de mot de passe sont ignorées par le terminal. Travail et Personnel - Contrôle total (Samsung KNOX) Utilisez les règles de mot de passe KNOX MDM pour configurer les exigences de mot de passe du terminal. Utilisez les règles de mot de passe de KNOX Premium - Espace Travail pour définir les exigences de mot de passe pour l'espace Travail. Toutes les autres règles de mot de passe sont ignorées par le terminal. Travail et Personnel - Confidentialité de l'utilisateur (Samsung KNOX) Vous n'avez aucun contrôle sur le mot de passe du terminal. Utilisez les règles de mot de passe de KNOX Premium - Espace Travail pour définir les exigences de mot de passe pour l'espace Travail. Toutes les autres règles de mot de passe sont ignorées par le terminal. Espace Travail uniquement (Android for Work) Utilisez les règles de mot de passe du système d'exploitation natif pour définir les exigences de mot de passe pour l'espace Travail. Espace Travail uniquement (Android for Work - Premium) Toutes les autres règles de mot de passe sont ignorées par le terminal. Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) Vous n'avez aucun contrôle sur le mot de passe du terminal. Travail et Personnel - Confidentialité de l'utilisateur (Android for Work Premium) Utilisez les règles de mot de passe du système d'exploitation natif pour définir les exigences de mot de passe pour l'espace Travail. Toutes les autres règles de mot de passe sont ignorées par le terminal. 143 Stratégies informatiques Type d'activation Règles de mot de passe prises en charge Travail et Personnel - Contrôle total (Secure Work Space) Utilisez les règles de mot de passe du système d'exploitation natif pour définir les exigences de mot de passe du terminal. Utilisez les règles de mot de passe de Secure Work Space pour définir les exigences de mot de passe pour l'espace Travail. Les règles de mots de passe de KNOX MDM sont ignorées par le terminal, sauf si ce type d'activation est utilisé avec un terminal Samsung KNOX. Les règles de mot de passe de KNOX Workspace sont ignorées par le terminal. Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) Vous n'avez aucun contrôle sur le mot de passe du terminal. Les règles de mot de passe du système d'exploitation natif sont ignorées par le terminal. Utilisez les règles de mot de passe de Secure Work Space pour définir les exigences de mot de passe pour l'espace Travail. Les règles de mot de passe de KNOX MDM et KNOX Workspace sont ignorées par le terminal. Android : règles de mot de passe du système d'exploitation natif Les règles de mot de passe du système d'exploitation natif définissent les exigences de mot de passe des terminaux dotés des types d'activation suivants : • Contrôles MDM (sans Samsung KNOX) • Travail et Personnel - Contrôle total (Secure Work Space) Les règles de mot de passe du système d'exploitation natif définissent les exigences de mot de passe de l'espace Travail des terminaux dotés des types d'activation suivants : • Espace Travail uniquement (Android for Work) • Espace Travail uniquement (Android for Work - Premium) • Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) • Travail et Personnel - Confidentialité de l'utilisateur (Android for Work - Premium) Règle Description Exigences en matière de mot de passe Précisez les exigences minimum pour le mot de passe. Vous pouvez choisir l'une des options suivantes : • Non spécifié : aucun mot de passe requis • Quelque chose : l'utilisateur doit définir un mot de passe, mais il n'existe aucune exigence de longueur ni de qualité 144 Stratégies informatiques Règle Description • Numérique : le mot de passe doit inclure au moins un chiffre • Alphabétique : le mot de passe doit inclure au moins une lettre • Alphanumérique : le mot de passe doit inclure au moins une lettre et un chiffre • Complexe : vous pouvez définir des exigences spécifiques pour différents types de caractères Nombre maximum d'échecs Spécifiez le nombre d'échecs de tentatives de saisie du mot de passe à l'issue desquels le de tentatives de saisie du mot terminal doit être nettoyé ou désactivé. de passe Les terminaux avec une activation "Commandes MDM" et "Travail et Personnel - Contrôle total (Secure Work Space)" sont nettoyés. Les terminaux dotés des types d'activation "Travail et Personnel - confidentialité de l'utilisateur (Android for Work)" et "Travail et Personnel - confidentialité de l'utilisateur (Android for Work - Premium)" sont désactivés et le profil de travail est supprimé. Délai d'inactivité maximal avant verrouillage Spécifiez le nombre de minutes d'inactivité de l'utilisateur à l'issue de laquelle le terminal ou l'espace Travail se verrouille. Cette règle est ignorée si aucun mot de passe n'est requis. Délai d'expiration du mot de passe Spécifiez le délai maximum pendant lequel le mot de passe peut être utilisé. Passé ce délai, l'utilisateur doit définir un nouveau mot de passe. S'il est défini sur 0, le mot de passe n'expire pas. Restriction d'historique du mot de passe Spécifiez le nombre maximum de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser un mot de passe numérique, alphabétique, alphanumérique ou complexe récent. S'il est défini sur 0, le terminal ne vérifie pas les mots de passe précédents. Longueur minimale du mot de Spécifiez le nombre minimal de caractères pour un mot de passe numérique, alphabétique, passe alphanumérique ou complexe. Nombre minimum de lettres majuscules requises dans le mot de passe Spécifiez le nombre minimum de lettres majuscules que doit contenir un mot de passe complexe. Nombre minimum de lettres minuscules requises dans le mot de passe Spécifiez le nombre minimum de lettres minuscules que doit contenir un mot de passe complexe. Nombre minimum de lettres requises dans un mot de passe Spécifiez le nombre minimum de lettres que doit contenir un mot de passe complexe. 145 Stratégies informatiques Règle Description Nombre minimum de Spécifiez le nombre minimum de caractères non alphabétiques (nombres ou symboles) que caractères non alphabétiques doit contenir un mot de passe complexe. requis dans le mot de passe Nombre minimum de chiffres requis dans un mot de passe Spécifiez le nombre minimum de chiffres que doit contenir un mot de passe complexe. Nombre de symboles minimum requis dans un mot de passe Spécifiez le nombre minimum de caractères non-alphanumériques que doit contenir un mot de passe complexe. Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. Android : règles de mot de passe de KNOX MDM Les règles de mot de passe de KNOX MDM définissent les exigences de mot de passe du terminal pour les terminaux dotés des types d'activation suivants : • Contrôles MDM (KNOX MDM) • Travail et Personnel - Contrôle total (Samsung KNOX) • Travail et Personnel - Contrôle total (Secure Work Space) : seulement si ce type d'activation est utilisé avec un terminal Samsung KNOX Les terminaux dotés de ces types d'activation doivent avoir un mot de passe de terminal. Règle Description Exigences en matière de mot de passe Précisez les exigences minimum pour le mot de passe. Vous pouvez choisir l'une des options suivantes : • Numérique : le mot de passe doit inclure au moins un chiffre • Alphabétique : le mot de passe doit inclure au moins une lettre • Alphanumérique : le mot de passe doit inclure au moins une lettre et un chiffre • Complexe : vous pouvez définir des exigences spécifiques pour différents types de caractères Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Le mot de passe doit contenir au moins passe 4 caractères. 146 Stratégies informatiques Règle Description Nombre minimum de lettres minuscules requises dans le mot de passe Spécifiez le nombre minimum de lettres minuscules que doit contenir un mot de passe complexe. Nombre minimum de lettres majuscules requises dans le mot de passe Spécifiez le nombre minimum de lettres majuscules que doit contenir un mot de passe complexe. Nombre minimum de caractères complexes requis dans un mot de passe Spécifiez le nombre minimum de caractères complexes (par exemple, nombres ou symboles) que doit contenir un mot de passe complexe. Si vous définissez cette valeur sur 1, au moins un chiffre est requis. Si vous spécifiez une valeur supérieure à 1, au moins un chiffre et un symbole sont requis. Longueur maximum de la séquence de caractères Spécifiez la longueur maximale d'une séquence alphabétique autorisée dans un mot de passe alphabétique, alphanumérique ou complexe. Par exemple, si la longueur est définie sur 5, la séquence alphabétique "abcde" est autorisée, mais pas la séquence "abcdef". Si elle est définie sur 0, il n'y a aucune restriction de séquence alphabétique. Délai d'inactivité maximal avant verrouillage Spécifiez le délai d'inactivité à l'issue duquel le terminal doit se verrouiller. Si le terminal est géré par plusieurs solutions EMM, la valeur la plus faible est utilisée comme délai d'inactivité. Si le terminal utilise un mot de passe, l'utilisateur doit saisir celui-ci pour le déverrouiller. Si ce délai est défini sur 0, le terminal ne dispose d'aucun délai d'inactivité. Nombre maximum d'échecs Spécifiez le nombre d'échecs de tentatives de saisie du mot de passe à l'issue desquels le de tentatives de saisie du mot terminal doit être nettoyé. de passe Restriction d'historique du mot de passe Spécifiez le nombre maximum de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser un mot de passe récent. S'il est défini sur 0, le terminal ne vérifie pas les mots de passe précédents. Délai d'expiration du mot de passe Spécifiez le délai maximum pendant lequel le mot de passe du terminal peut être utilisé. Passé ce délai, le mot de passe expire et l'utilisateur doit en définir un nouveau. S'il est défini sur 0, le mot de passe n'expire pas. Autoriser la visibilité du mot de passe Spécifiez si le mot de passe du terminal est visible lorsque l'utilisateur le saisit. Si cette règle n'est pas sélectionnée, les utilisateurs et les applications tierces ne peuvent pas modifier la configuration de la visibilité. Autoriser l'authentification par empreinte digitale Spécifiez si l'utilisateur peut utiliser l'authentification par empreintes digitales pour le terminal. 147 Stratégies informatiques Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. Android : KNOX Premium - Règles de mot de passe de l'espace Travail Les règles de mot de passe KNOX Premium - Espace Travail définissent les exigences de mot de passe de l'espace Travail des terminaux dotés des types d'activation suivants : • Espace Travail uniquement (Samsung KNOX) • Travail et Personnel - Contrôle total (Samsung KNOX) • Travail et Personnel - Confidentialité de l'utilisateur (Samsung KNOX) Les terminaux dotés de ces types d'activation doivent avoir un mot de passe pour l'espace Travail. Règle Description Exigences en matière de mot de passe Précisez les exigences minimum pour le mot de passe. Vous pouvez choisir l'une des options suivantes : • Numérique : le mot de passe doit inclure au moins un chiffre • Numérique complexe : le mot de passe doit inclure au moins un chiffre, sans séquences répétées (4444) ni dans l'ordre (1234, 4321, 2468) • Alphabétique : le mot de passe doit inclure au moins une lettre • Alphanumérique : le mot de passe doit inclure au moins une lettre et un chiffre • Complexe : vous pouvez définir des exigences spécifiques pour différents types de caractères Nombre minimum de lettres minuscules requises dans le mot de passe Spécifiez le nombre minimum de lettres minuscules que doit contenir un mot de passe complexe. Nombre minimum de lettres majuscules requises dans le mot de passe Spécifiez le nombre minimum de lettres majuscules que doit contenir un mot de passe complexe. Nombre minimum de caractères complexes requis dans un mot de passe Spécifiez le nombre minimum de caractères complexes (par exemple, nombres ou symboles) que doit contenir un mot de passe complexe. Au moins trois caractères complexes sont requis, y compris au moins un nombre et un symbole. Longueur maximum de la séquence de caractères Spécifiez la longueur maximale d'une séquence alphabétique autorisée dans un mot de passe alphabétique, alphanumérique ou complexe. Par exemple, si la longueur est définie sur 5, la séquence alphabétique "abcde" est autorisée, mais pas la séquence "abcdef". Si elle est définie sur 0, il n'y a aucune restriction de séquence alphabétique. 148 Stratégies informatiques Règle Description Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Si vous saisissez une valeur inférieure au passe minimum requis par KNOX Workspace, la valeur minimum de KNOX Workspace est utilisée. Délai d'inactivité maximal avant verrouillage Spécifiez la période d'inactivité de l'utilisateur dans l'espace Travail avant le verrouillage de l'espace Travail. Si elle est définie sur 0, l'espace Travail ne dispose d'aucune période d'inactivité. Nombre maximum d'échecs Spécifiez le nombre de tentatives de saisie du mot de passe possibles avant la réinitialisation de tentatives de saisie du mot de l'espace Travail. S'il est défini sur 0, il n'existe aucune restriction du nombre de tentatives de passe de saisie du mot de passe pour un utilisateur. Restriction d'historique du mot de passe Spécifiez le nombre maximum de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser un mot de passe récent. S'il est défini sur 0, le terminal ne vérifie pas les mots de passe précédents. Délai d'expiration du mot de passe Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé. Passé ce délai, le mot de passe expire et l'utilisateur doit en définir un nouveau. S'il est défini sur 0, le mot de passe n'expire pas. Nombre minimum de caractères modifiés pour les nouveaux mots de passe Spécifiez le nombre minimum de caractères modifiés que doit contenir un nouveau mot de passe par rapport au précédent. Si vous définissez cette règle sur 0, aucune restriction ne s'applique. Autoriser les verrouillages personnalisés Spécifiez si le terminal est autorisé à utiliser des verrouillages personnalisés, comme des agents d'approbation. Si cette règle n'est pas sélectionnée, les verrouillages personnalisés sont désactivés. Autoriser les agents d'approbation de verrouillage Spécifiez si l'utilisateur peut maintenir l'espace Travail déverrouillé pendant 2 heures à l'issue du délai d'inactivité maximum de l'espace Travail. Si vous ne définissez aucune valeur de délai d'inactivité, l'utilisateur peut effectuer cette action par défaut. Autoriser la visibilité du mot de passe Spécifiez si le mot de passe du terminal est visible lorsque l'utilisateur le saisit. Si cette règle n'est pas sélectionnée, les utilisateurs et les applications tierces ne peuvent pas modifier la configuration de la visibilité. Appliquer l'authentification à deux facteurs Spécifiez si l'utilisateur doit utiliser l'authentification à deux facteurs pour accéder à l'espace Travail. Par exemple, vous pouvez utiliser cette règle si vous souhaitez que l'utilisateur s'authentifie à l'aide d'une empreinte et d'un mot de passe. Autoriser l'authentification par empreinte digitale Spécifiez si l'utilisateur peut utiliser l'authentification par empreintes digitales pour accéder à l'espace Travail. Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. 149 Stratégies informatiques Android : exigences de mot de passe de Secure Work Space Les règles de mot de passe de Secure Work Space définissent les exigences de mot de passe de l'espace Travail des terminaux dotés des types d'activation suivants : • Travail et Personnel - Contrôle total (Secure Work Space) • Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) Les terminaux dotés de ces types d'activation doivent avoir un mot de passe pour l'espace Travail. Règle Description Autoriser les mots de passe Spécifiez si le mot de passe peut contenir des caractères séquentiels ou répétés, tels que avec caractères séquentiels et DEFG ou 3333. répétés Lettres requises Spécifiez si le mot de passe doit contenir des lettres. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de lettres que le mot de passe doit contenir. Lettres minuscules requises Spécifiez si le mot de passe doit contenir des lettres minuscules. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de lettres minuscules que le mot de passe doit contenir. Chiffres requis Spécifiez si le mot de passe doit contenir des chiffres. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de chiffres que le mot de passe doit contenir. Caractères spéciaux requis Spécifiez si le mot de passe doit contenir des caractères spéciaux. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de caractères spéciaux que le mot de passe doit contenir. Lettres majuscules requises Spécifiez si le mot de passe doit contenir des lettres majuscules. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum de lettres majuscules que le mot de passe doit contenir. Limite de longueur du mot de passe Spécifiez si le mot de passe a une longueur minimale et maximale. Si vous sélectionnez cette règle, vous pouvez spécifier le nombre minimum et maximum de caractères que le mot de passe doit contenir. Délai d'expiration du mot de passe Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé. Passé ce délai, le mot de passe expire et l'utilisateur doit en définir un nouveau. S'il est défini sur 0, le mot de passe n'expire pas. Limite de réutilisation d'anciens mots de passe Précisez si un utilisateur peut réutiliser les mots de passe précédents. Si vous sélectionnez cette règle, spécifiez le nombre de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser un mot de passe récent. 150 Stratégies informatiques Règle Description Verrouiller l'espace Travail au verrouillage du terminal Spécifiez si le terminal doit se verrouiller à l'issue d'une période d'inactivité dans l'espace Travail. Si un utilisateur se trouve dans l'espace Travail, le terminal se verrouille après la période d'inactivité spécifiée ; sinon le terminal se verrouille après la période d'inactivité spécifiée dans les paramètres de verrouillage automatique du terminal. Si une application de l'espace Travail est ouverte lorsque le délai d'inactivité est écoulé, l'espace Travail se verrouille, mais le terminal ne se verrouille pas et l'écran ne s'éteint pas. Si vous sélectionnez cette règle, vous pouvez spécifier la période d'inactivité dans l'espace Travail qui doit s'écouler avant le verrouillage du terminal. Verrouiller le terminal après inactivité dans l'espace Travail Spécifiez si le terminal doit se verrouiller à l'issue d'une période d'inactivité de l'espace Travail. Lorsque l'utilisateur se trouve dans l'espace Travail, le terminal se verrouille à l'issue de la période d'inactivité spécifiée. Sinon, le terminal se verrouille après la période d'inactivité spécifiée dans les paramètres de verrouillage automatique du terminal. Si vous configurez la règle "Verrouiller le terminal après inactivité dans l'espace Travail", l'espace Travail se verrouille lorsqu'une application de l'espace Travail est ouverte. Le terminal ne se verrouille pas et l'écran ne s'éteint pas. Verrouiller l'espace Travail après inactivité Spécifiez la période d'inactivité dans l'espace Personnel qui doit s'écouler avant le verrouillage de l'espace Travail. Limite du nombre de tentatives de mots de passe incorrects Précisez si un terminal limite le nombre de tentative de mot de passe d'un utilisateur de l'espace Travail. Si vous sélectionnez cette règle, spécifiez le nombre de tentatives de saisie de mot de passe possibles pour l'espace Travail et l'action qui se produit lorsque la limite est atteinte. Le terminal peut effectuer les opérations suivantes : • Désactiver l'espace Travail jusqu'à sa restauration par un administrateur • Désactiver le terminal, qui supprime toutes les données de l'espace Travail • Désactiver l'espace Travail et, après un nombre de jours spécifié, désactiver le terminal Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. Configuration des exigences de mot de passe pour Windows Vous pouvez choisir si les terminaux Windows doivent avoir un mot de passe. Si vous nécessitez un mot de passe, vous pouvez définir les exigences de ce mot de passe. 151 Stratégies informatiques Règle Description Mot de passe requis pour le terminal Spécifiez si l'utilisateur doit définir un mot de passe pour le terminal. Autoriser les mots de passe simples Spécifiez si le mot de passe peut contenir des caractères séquentiels ou répétés, tels que DEFG ou 3333. Longueur minimale du mot de Précisez la longueur minimale du mot de passe. Le mot de passe doit contenir au moins passe 4 caractères. Complexité du mot de passe Spécifiez la complexité du mot de passe. Vous pouvez choisir les options suivantes : • Alphanumérique : le mot de passe doit contenir des lettres et des chiffres • Numérique : le mot de passe doit contenir uniquement des chiffres Nombre minimum de types de Spécifiez le nombre minimum de types de caractères que doit contenir un mot de passe caractères alphanumérique. Vous avez le choix entre les options suivantes : 1. Chiffres requis 2. Chiffres et lettres minuscules requis 3. Chiffres, lettres minuscules et lettres majuscules requis 4. Chiffres, lettres minuscules, lettres majuscules et caractères spéciaux requis Les exigences relatives aux caractères du mot de passe pour les tablettes et ordinateurs Windows 10 dépendent du type de compte d'utilisateur, et non de ce paramètre. Expiration du mot de passe Spécifiez le nombre maximum de jours pendant lesquels le mot de passe peut être utilisé. S'il est défini sur 0, le mot de passe n'expire pas. Historique de mot de passe Spécifiez le nombre de mots de passe précédents que le terminal vérifie pour empêcher un utilisateur de réutiliser un mot de passe récent. S'il est défini sur 0, le terminal ne vérifie pas les mots de passe précédents. Nombre maximum d'échecs Spécifiez le nombre de tentatives de saisie du mot de passe possibles avant la réinitialisation de tentatives de saisie du mot du terminal. S'il est défini sur 0, le terminal n'est pas réinitialisé, quel que soit le nombre de de passe fois où l'utilisateur saisit un mot de passe incorrect. Cette règle ne s'applique pas aux terminaux qui autorisent plusieurs comptes d'utilisateur, y compris les tablettes et ordinateurs Windows 10. Délai d'inactivité maximal avant verrouillage Spécifiez la période d'inactivité de l'utilisateur à l'issue de laquelle le terminal se verrouille. S'il est défini sur 0, le terminal ne se verrouille pas automatiquement. 152 Stratégies informatiques Règle Description Autoriser l'accès sans mot de passe Spécifiez si l'utilisateur doit saisir le mot de passe à l'issue de la période de grâce associée au délai d'inactivité. Si cette règle est sélectionnée, l'utilisateur peut définir la période de grâce du mot de passe sur le terminal. Cette règle ne s'applique pas aux ordinateurs et tablettes Windows 10. Pour plus d'informations sur les règles du mot de passe de la stratégie informatique, éléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. Comment BES12 choisit la stratégie informatique à attribuer BES12 envoie une seule stratégie informatique à un terminal et utilise des règles prédéfinies pour déterminer la stratégie informatique à attribuer à un utilisateur et les terminaux que l'utilisateur active. Attribué à Règles Compte d'utilisateur 1. Une stratégie informatique directement attribuée à un compte d'utilisateur est prioritaire sur une stratégie informatique attribuée indirectement par groupe d'utilisateurs. 2. Si un utilisateur est membre de plusieurs groupes d'utilisateurs dotés de stratégies informatiques différentes, BES12 attribue la stratégie informatique avec le rang le plus élevé. 3. La stratégie informatique par défaut est attribuée si aucune stratégie informatique n'est attribuée à un compte d'utilisateur directement ou par appartenance aux groupes d'utilisateurs. (afficher l'onglet Synthèse) Terminal (afficher l'onglet Terminal) Par défaut, un terminal hérite de la stratégie informatique attribuée par BES12 à l'utilisateur qui active le terminal. Si un terminal appartient à un groupe de terminaux, les règles suivantes s'appliquent : 1. Une stratégie informatique attribuée à un groupe de terminaux est prioritaire sur la stratégie informatique attribuée par BES12 à un compte d'utilisateur. 2. Si un terminal est membre de plusieurs groupes de terminaux dotés de stratégies informatiques différentes, BES12 attribue la stratégie informatique avec le rang le plus élevé. BES12 peut devoir résoudre des stratégies informatiques en conflit lorsque vous effectuez l'une des opérations suivantes : • Attribuer une stratégie informatique à un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux 153 Stratégies informatiques • Supprimer une stratégie informatique d'un compte d'utilisateur, groupe d'utilisateurs ou groupe de terminaux • Modifier le classement d'une stratégie informatique • Supprimer une stratégie informatique • Modifier l'appartenance à un groupe d'utilisateurs (comptes d'utilisateur et groupes imbriqués) • Modifier les attributs des terminaux • Modifier l'appartenance à un groupe de terminaux • Supprimer un groupe d'utilisateurs ou un groupe de terminaux Informations connexes Classer les stratégies informatiques, à la page 155 Création et gestion des stratégies informatiques Vous pouvez utiliser la stratégie informatique par défaut ou créer des stratégies informatiques personnalisées (pour spécifier les règles de stratégie informatique pour différents groupes d'utilisateurs de votre organisation, par exemple). Si vous prévoyez d'utiliser la stratégie informatique par défaut, il vous est conseillé de l'examiner et, si nécessaire, de la mettre à jour pour veiller à ce que les règles respectent les normes de sécurité de votre organisation. Créer une stratégie informatique 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description de la stratégie informatique. 4. Cliquez sur l'onglet correspondant à chaque type de terminal de votre organisation et configurez les valeurs appropriées pour les règles de stratégie informatique. en regard de Stratégies informatiques. Maintenez la souris sur le nom d'une règle pour afficher des conseils d'aide. 5. Cliquez sur Ajouter. À la fin: classez les stratégies informatiques. Informations connexes Attribuer une stratégie informatique à un groupe d'utilisateurs, à la page 202 Attribuer une stratégie informatique à un compte d'utilisateur, à la page 221 Copier une stratégie informatique Vous pouvez copier les stratégies informatiques existantes pour créer rapidement des stratégies informatiques personnalisées destinées aux différents groupes de votre entreprise. 154 Stratégies informatiques 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Stratégies informatiques. 3. Cliquez sur le nom de la stratégie informatique que vous souhaitez copier. 4. Cliquez sur 5. Saisissez le nom et la description de la nouvelle stratégie informatique. 6. Apportez les modifications dans l'onglet correspondant à chaque type de terminal. 7. Cliquez sur Ajouter. . À la fin: classez les stratégies informatiques. Classer les stratégies informatiques Le classement est utilisé pour déterminer la stratégie informatique envoyée par BES12 à un terminal dans les scénarios suivants : • Un utilisateur est membre de plusieurs groupes d'utilisateurs présentant des stratégies informatiques différentes. • Un terminal est membre de plusieurs groupes de terminaux présentant des stratégies informatiques différentes. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Stratégies informatiques. 3. Cliquez sur Classer les stratégies informatiques. 4. Utilisez les flèches pour déplacer les stratégies informatiques vers le haut ou le bas du classement. 5. Cliquez sur Enregistrer. Informations connexes Comment BES12 choisit la stratégie informatique à attribuer, à la page 153 Afficher une stratégie informatique Vous pouvez afficher les informations suivantes sur une stratégie informatique : • Règles de stratégie informatique spécifiques à chaque type de terminal • Liste et nombre de comptes d'utilisateur auxquels est attribuée la stratégie informatique (directement et indirectement) • Liste et nombre de groupes d'utilisateurs auxquels est attribuée la stratégie informatique (directement) 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Stratégies informatiques. 155 Stratégies informatiques 3. Cliquez sur le nom de la stratégie informatique que vous souhaitez afficher. Modifier une stratégie informatique 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Stratégies informatiques. 3. Cliquez sur le nom de la stratégie informatique que vous souhaitez modifier. 4. Cliquez sur 5. Apportez les modifications dans l'onglet correspondant à chaque type de terminal. 6. Cliquez sur Enregistrer. . À la fin: si nécessaire, modifiez le classement de la stratégie informatique. Informations connexes Classer les stratégies informatiques, à la page 155 Supprimer une stratégie informatique de comptes d'utilisateur ou groupes d'utilisateurs Si une stratégie informatique est directement attribuée à des comptes d'utilisateur ou à des groupes d'utilisateurs, vous pouvez la supprimer des utilisateurs ou des groupes. Si une stratégie informatique est indirectement attribuée par un groupe d'utilisateurs, vous pouvez supprimer la stratégie informatique du groupe ou supprimer les comptes d'utilisateur du groupe. Lorsque vous supprimez une stratégie informatique de groupes d'utilisateurs, la stratégie informatique est supprimée de chaque utilisateur appartenant aux groupes sélectionnés. Remarque: la stratégie informatique par défaut peut uniquement être supprimée d'un compte d'utilisateur si vous l'avez directement attribuée à l'utilisateur. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Stratégies informatiques. 3. Cliquez sur le nom de la stratégie informatique que vous souhaitez supprimer des comptes d'utilisateur ou des groupes d'utilisateurs. 4. Effectuez l'une des tâches suivantes : Tâche Étapes Supprimer une stratégie informatique de comptes d'utilisateur 1. Cliquez sur l'onglet Attribué aux utilisateurs. 2. Si nécessaire, recherchez les comptes d'utilisateur. 156 Stratégies informatiques Tâche Étapes Supprimer une stratégie informatique de groupes d'utilisateurs 3. Sélectionnez les comptes d'utilisateur desquels vous souhaitez supprimer la stratégie informatique. 4. Cliquez sur 1. Cliquez sur l'onglet Attribué aux groupes. 2. Si nécessaire, recherchez les groupes d'utilisateurs. 3. Sélectionnez les groupes d'utilisateurs desquels vous souhaitez supprimer la stratégie informatique. 4. Cliquez sur . . Informations connexes Comment BES12 choisit la stratégie informatique à attribuer, à la page 153 Supprimer une stratégie informatique Vous ne pouvez pas supprimer la stratégie informatique par défaut. Lorsque vous supprimez une stratégie informatique personnalisée, BES12 supprime la stratégie informatique des utilisateurs et des terminaux auxquels elle a été attribuée. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Dans le volet de gauche, développez Stratégies informatiques. 3. Cliquez sur le nom de la stratégie informatique que vous souhaitez supprimer. 4. Cliquez sur 5. Cliquez sur Supprimer. . Informations connexes Comment BES12 choisit la stratégie informatique à attribuer, à la page 153 Exporter des stratégies informatiques Vous pouvez exporter des stratégies informatiques vers un fichier .xml à des fins d'audit. Remarque: Les profils qui sont associés à des stratégies informatiques ne sont pas exportés. 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur . 157 Stratégies informatiques 3. Sélectionnez les cases à cocher des stratégies informatiques que vous souhaitez exporter. 4. Cliquez sur Suivant. 5. Cliquez sur Exporter. 158 Applications Applications 10 Vous pouvez créer une bibliothèque des applications que vous souhaitez gérer et surveiller sur les terminaux BlackBerry 10, iOS, Android et Windows. Pour gérer les applications, vous pouvez les ajouter à la liste des applications et les attribuer à des comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux. Pour gérer des applications, procédez comme suit : Étape Action Ajoutez les applications publiques et internes que vous souhaitez gérer à la liste des applications. Créez des groupes d'applications pour gérer simultanément plusieurs applications ou pour gérer des applications sur les terminauxAndroid for Work. Attribuez des applications ou des groupes d'applications aux comptes d'utilisateur, groupes d'utilisateurs ou groupes de terminaux pour permettre aux utilisateurs de les installer. Ajout et suppression d'applications à partir de la liste des applications La liste des applications contient toutes les applications que vous pouvez attribuer aux utilisateurs, groupes d'utilisateurs et groupes de terminaux. Les applications répertoriées avec une icône de verrouillage correspondent aux applications sécurisées pouvant être installées dans l'espace Travail sur les terminaux iOS et Android avec Secure Work Space. Les applications répertoriées avec une icône de verrouillage rouge sont des applications Good Dynamics. Ajout d'applications publiques à la liste des applications Une application publique est à une application disponible auprès de la boutique BlackBerry World, de la boutique en ligne App Store, de la boutique Google Play ou de Windows Store. Ajouter une application BlackBerry à la liste des applications 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur . 159 Applications 3. Cliquez sur BlackBerry World. 4. Dans le champ de recherche, recherchez l'application que vous souhaitez ajouter. Vous pouvez rechercher une application par nom, fournisseur ou URL BlackBerry World. 5. Dans la liste déroulante, sélectionnez le pays du magasin dans lequel vous souhaitez effectuer la recherche. 6. Cliquez sur Rechercher. 7. Dans les résultats de la recherche, cliquez sur Ajouter pour ajouter une application. 8. Pour filtrer par catégorie les applications BlackBerry dans la liste d'applications, vous pouvez sélectionner une catégorie pour l'application. Dans la liste déroulante Catégorie, effectuez l'une des opérations suivantes : Option 9. Description Sélectionner une catégorie pour 1. l'application Dans la liste déroulante, sélectionnez une catégorie. Créer une catégorie pour l'application 1. Saisissez un nom pour la catégorie. La nouvelle catégorie apparait dans la liste déroulante avec la mention « Nouvelle catégorie ». 2. Appuyez sur la touche Entrée. 3. Appuyez sur la touche Entrée. Dans l'écran d'informations sur l'application, cliquez sur Ajouter. Informations connexes Attribuer une application à un groupe d'utilisateurs, à la page 203 Attribuer une application à un compte d'utilisateur, à la page 223 Ajouter une application iOS à la liste des applications 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur 3. Cliquez sur Boutique d'applications. 4. Dans le champ de recherche, recherchez l'application que vous souhaitez ajouter. Vous pouvez rechercher une application par nom, fournisseur ou URL App Store. 5. Dans la liste déroulante, sélectionnez le pays du magasin dans lequel vous souhaitez effectuer la recherche. 6. Cliquez sur Rechercher. 7. Dans les résultats de la recherche, cliquez sur Ajouter pour ajouter une application. 8. Pour filtrer, par catégorie, les applications figurant dans la liste des applications et les organiser en catégories dans la liste Applications professionnelles sur les terminaux des utilisateurs, vous pouvez sélectionner une catégorie pour l'application. Dans la liste déroulante Catégorie, effectuez l'une des opérations suivantes : . 160 Applications Option 9. Description Sélectionner une catégorie pour 1. l'application Dans la liste déroulante, sélectionnez une catégorie. Créer une catégorie pour l'application 1. Saisissez un nom pour la catégorie. La « nouvelle catégorie » apparait dans la liste déroulante, accompagnée de l'étiquette « nouvelle catégorie ». 2. Appuyez sur la touche Entrée. 3. Appuyez sur la touche Entrée. Dans la liste déroulante Facteur de forme du terminal pris en charge, sélectionnez les facteurs de forme sur lesquels l'application peut être installée. Par exemple, vous pouvez empêcher l'accès à l'application dans les applications professionnelles pour iPad. 10. Si vous souhaitez supprimer l'application du terminal lorsque celui-ci est supprimé de BES12, sélectionnez Supprimer l'application du terminal lorsque celui-ci est supprimé de BES12. Cette option s'applique uniquement aux applications dotées d'une disposition marquée comme requise et l'installation par défaut des applications requises est définie sur une seule demande. 11. Si vous souhaitez empêcher la sauvegarde des applications des terminaux iOS sur le service en ligne iCloud, sélectionnez Désactiver la sauvegarde iCloud pour l'application. Cette option s'applique uniquement aux applications dotées d'une disposition marquée comme requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un utilisateur ou à un groupe. 12. Dans la liste déroulante Installation par défaut des applications requises, effectuez l'une des opérations suivantes : • Si vous souhaitez que les utilisateurs reçoivent une demande d'installation de l'application sur leurs terminaux iOS, sélectionnez Demander une fois. Si les utilisateurs rejettent cette demande, ils peuvent installer l'application ultérieurement via l'écran Applications professionnelles de l'application Good for BES12 ou l'icône Applications professionnelles du terminal. • Si vous ne souhaitez pas que les utilisateurs reçoivent d'invite, sélectionnez Aucune invite. La méthode d'installation par défaut s'applique uniquement aux applications dotées d'une disposition marquée comme requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un utilisateur ou à un groupe. 13. Dans la liste déroulante Convertissez une application personnelle installée en application professionnelle, sélectionnez l'une des options suivantes : • Pour convertir l'application en application professionnelle, si elle est déjà installée sur des terminaux iOS 9 ou version ultérieure, sélectionnez Convertir pour convertir l'application. Une fois que vous avez affecté l'application à un utilisateur, celle-ci est convertie en application professionnelle et peut être gérée par BES12. • Si vous ne souhaitez pas convertir l'application en application professionnelle, si elle est déjà installée sur des terminaux iOS 9 ou version ultérieure, sélectionnez Ne pas convertir. Une fois que vous avez affecté l'application à un utilisateur, celle-ci ne peut pas être gérée par BES12. 161 Applications 14. S'il est possible de préconfigurer les paramètres de l'application (informations de connexion, par exemple), et si vous souhaitez le faire, obtenez les détails de configuration auprès de l'éditeur et effectuez les opérations suivantes : a. Dans le tableau Configuration de l'application, cliquez sur b. Saisissez un nom dans le champ Nom de la configuration de l'application. c. Cliquez sur d. Saisissez le nom de clé pour le paramètre et la valeur que vous souhaitez définir. e. Répétez les étapes c et d pour chaque paramètre que vous voulez configurer. f. Cliquez sur Enregistrer. . , puis sélectionnez un type de valeur pour le paramètre. 15. Cliquez sur Ajouter. Informations connexes Attribuer une application à un groupe d'utilisateurs, à la page 203 Attribuer une application à un compte d'utilisateur, à la page 223 Ajouter une application Android à la liste des applications Ajoutez uniquement les applications à la liste des applications disponibles. Les films, la musique et les journaux ne peuvent pas être remis aux terminaux. Si vous attribuez un support à un utilisateur et définissez la disposition de ce support sur requis, le terminal est soumis à l'action d'application définie dans le profil de conformité qui lui est attribué. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur 3. Cliquez sur Google Play. 4. Cliquez sur Ouvrir Google Play et recherchez l'application que vous souhaitez ajouter. Vous pouvez ensuite copier et coller les informations depuis Google Play dans les étapes suivantes et télécharger des icônes et captures d'écran. 5. Dans le champ Nom de l'application, saisissez le nom de l'application. 6. Dans le champ Description de l'application, saisissez la description de l'application. 7. Pour filtrer, par catégorie, les applications figurant dans la liste des applications et les organiser en catégories dans la liste Applications professionnelles sur les terminaux des utilisateurs, vous pouvez sélectionner une catégorie pour l'application. Dans la liste déroulante Catégorie, effectuez l'une des opérations suivantes : . Option Description Sélectionner une catégorie pour 1. l'application Dans la liste déroulante, sélectionnez une catégorie. Créer une catégorie pour l'application 1. Saisissez un nom pour la catégorie. La « nouvelle catégorie » apparait dans la liste déroulante, accompagnée de l'étiquette « nouvelle catégorie ». 2. Appuyez sur la touche Entrée. 162 Applications Option Description 3. Appuyez sur la touche Entrée. 8. Dans le champ Éditeur, indiquez le nom du fournisseur de l'application. 9. Dans le champ Icône de l'application, cliquez sur Parcourir. Localisez une icône pour l'application et sélectionnez-la. Les formats .png, .jpg, .jpeg ou .gif sont pris en charge N'utilisez pas Google Chrome pour télécharger l'icône car l'image .webp téléchargée n'est pas compatible. 10. Dans le champ Adresse Web de l'application sur Google Play, saisissez l'adresse Web de l'application dans Google Play. 11. Pour ajouter les captures d'écran de l'application, cliquez sur Ajouter et accédez aux captures d'écran. Les formats .jpg, .jpeg, .png ou .gif sont pris en charge 12. Dans la liste déroulante Envoyer à, effectuez l'une des opérations suivantes : • Si vous souhaitez que l'application soit envoyée à tous les terminaux Android, sélectionnez Tous les appareils Android . • Si vous souhaitez que l'application soit uniquement envoyée aux terminaux Android utilisant Samsung KNOX Workspace, sélectionnez Terminaux KNOX Workspace uniquement. 13. Cliquez sur Ajouter. Informations connexes Attribuer une application à un groupe d'utilisateurs, à la page 203 Attribuer une application à un compte d'utilisateur, à la page 223 Ajouter une application Android à la liste des applications si BES12 est connecté à un domaine Google Si vous avez configuré une connexionAndroid for Work, vous pouvez gérer les applications sur tous les terminauxAndroid, y compris les terminaux utilisantAndroid for Work. Pour plus d'informations sur la configuration deBES12pour prendre en chargeAndroid for Work,consultez le contenu relatif à la configuration. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur 3. Cliquez sur Google Play. 4. Dans le champ URL de l'application sur Google Play, saisissez l'adresse Web de l'application dans Google Play. 5. Cliquez sur Rechercher. 6. Dans les résultats de la recherche, cliquez sur Ajouter pour ajouter une application. 7. Cliquez sur Accepter pour accepter les autorisations de l'application au nom des utilisateurs. Vous devez accepter les autorisations des applications au nom des utilisateurs pour permettre l'installation automatique des applications requises . 163 Applications sur les terminaux Android for Work. Si vous n'acceptez pas les autorisations des applications au nom des utilisateurs, l'application ne peut pas être gérée dans BES12. 8. Cliquez sur Suivant. 9. Pour ajouter les captures d'écran de l'application, cliquez sur Ajouter et accédez aux captures d'écran. Les formats .jpg, .jpeg, .png ou .gif sont pris en charge 10. Dans la liste déroulante Envoyer à, effectuez l'une des opérations suivantes : • Si vous souhaitez que l'application soit envoyée à tous les terminaux Android, sélectionnez Tous les appareils Android . • Si vous souhaitez que l'application soit uniquement envoyée aux terminaux Android utilisant Samsung KNOX Workspace, sélectionnez Terminaux Samsung KNOX Workspace. • Si vous souhaitez que l'application soit envoyée uniquement aux terminaux Android for Work, sélectionnez Terminaux exécutant Android for Work. 11. Pour filtrer, par catégorie, les applications figurant dans la liste des applications et les organiser en catégories dans la liste Applications professionnelles sur les terminaux des utilisateurs, vous pouvez sélectionner une catégorie pour l'application. Dans la liste déroulante Catégorie, effectuez l'une des opérations suivantes : Option Description Sélectionner une catégorie pour 1. l'application Dans la liste déroulante, sélectionnez une catégorie. Créer une catégorie pour l'application 1. Saisissez un nom pour la catégorie. La nouvelle catégorie apparait dans la liste déroulante, accompagnée de l'étiquette « nouvelle catégorie ». 2. Appuyez sur la touche Entrée. 3. Appuyez sur la touche Entrée. 12. Le tableau de configuration de l'application s'affiche uniquement en présence de paramètres de configuration pour l'application. Dans le tableau de configuration de l'application, cliquez sur pour ajouter une configuration d'application. 13. Si nécessaire, saisissez le nom de la configuration de l'application et spécifiez les paramètres de configuration à utiliser. Cliquez sur Enregistrer. 14. Cliquez sur Ajouter. Ajouter une application Windows Phone à la liste des applications 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur 3. Cliquez sur Windows Store > 8. . 164 Applications 4. Cliquez sur Ouvrir Windows Store et recherchez l'application que vous souhaitez ajouter. Vous pouvez ensuite copier et coller les informations depuis Windows Store dans les étapes suivantes et télécharger des icônes et captures d'écran. 5. Dans le champ Nom de l'application, saisissez le nom de l'application. 6. Dans le champ Description de l'application, saisissez la description de l'application. 7. Dans le champ Éditeur, indiquez le nom du fournisseur de l'application. 8. Dans le champ Icône de l'application, cliquez sur Parcourir. Localisez une icône pour l'application et sélectionnez-la. Les formats .png, .jpg, .jpeg ou .gif sont pris en charge 9. Dans le champ Adresse Web de l'application sur Windows Store, saisissez l'adresse Web de l'application dans Windows Store. L'adresse Web doit commencer par « https ». 10. Pour ajouter les captures d'écran de l'application, cliquez sur Ajouter et accédez aux captures d'écran. Les formats .jpg, .jpeg, .png ou .gif sont pris en charge 11. Cliquez sur Ajouter. Ajouter une application Windows 10 à la liste des applications Pour ajouter des applications Windows 10 à la liste d'applications, vous devez gérer votre catalogue d'applications dans Windows Store pour Entreprises, puis synchroniser les applications avec BES12. Lorsque de nouvelles applications sont ajoutées à votre catalogue d'applications, vous pouvez synchroniser les applications avec BES12 immédiatement ou attendre que BES12 se synchronise automatiquement. BES12 synchronise le catalogue d'applications toutes les 24 heures. Vous pouvez autoriser les utilisateurs à installer des applications en ligne ou hors ligne à partir du catalogue d'applications Windows Store pour Entreprises. Les applications hors ligne sont téléchargées par BES12 lorsque vous les synchronisez avec le catalogue d'applications. Il est recommandé d'utiliser les applications hors ligne étant donné qu'il est possible de les gérer depuis BES12 et que les utilisateurs peuvent les installer sans se connecter à Windows Store pour Entreprises. Une fois les applications installées, les terminaux reçoivent des mises à jour des applications de Windows Store. Les applications en ligne sont téléchargées directement à partir de Windows Store pour Entreprises. Avant de commencer: • Configurer BES12 pour une synchronisation avec Windows Store pour Entreprises Pour obtenir des instructions,reportez-vous au contenu relatif à la configuration. • Si vous souhaitez que les utilisateurs puissent installer des applications en ligne, vous devez synchroniser votre annuaire avec Microsoft Azure Active Directory à l'aide de Microsoft Azure AD Connect. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur 3. Cliquez sur Windows Store > 10. 4. Cliquez sur Synchroniser les applications. . 165 Applications Autorisation des utilisateurs à installer des applications en ligne Pour que vous puissiez autoriser des utilisateurs à installer des applications en ligne, ces utilisateurs doivent déjà exister dans votre annuaire Microsoft Azure et leur adresse électronique dans BES12 doit correspondre à leur adresse électronique dans Microsoft Azure AD. Vous pouvez synchroniser votre annuaire avec Microsoft Azure à l'aide de Microsoft Azure AD Connect. Pour plus d'informations sur l'utilisation de Microsoft Azure AD Connect, consultez la page https://azure.microsoft.com/en-us/ documentation/articles/active-directory-aadconnect/. Ajout d'une catégorie d'application pour une application Windows 10 Après avoir défini une catégorie pour une application, vous pouvez filtrer par catégorie des applications dans la liste d'applications et organiser en catégories les applications figurant sur la liste des applications professionnelles sur les terminaux d'utilisateurs. Lorsqu'une application Windows 10 est synchronisée avec BES12, vous pouvez lui attribuer une catégorie d'applications. Avant de commencer: Ajouter une application Windows 10 à la liste des applications. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur l'application à laquelle vous souhaitez attribuer une catégorie d'application. 3. Dans la liste déroulante Catégorie, effectuez l'une des opérations suivantes : Étape Description Sélectionner une catégorie pour l'application 1. Dans la liste déroulante, sélectionnez une catégorie. Créer une catégorie pour l'application 1. Saisissez un nom pour la catégorie. Le message « Nouvelle catégorie » apparait dans la liste déroulante avec l'étiquette de la nouvelle catégorie à côté. 2. Appuyez sur la touche Entrée. 3. Appuyez sur la touche Entrée. 4. Cliquez sur Enregistrer. Ajout d'applications internes à la liste des applications Les applications internes comprennent les applications propriétaires développées par votre organisation ou des applications mises exclusivement à la disposition de votre organisation. Les applications internes ne sont pas ajoutées à partir des boutiques d'applications publiques. 166 Applications Les applications BlackBerry doivent correspondre à des fichiers .bar, les applications iOS à des fichiers .ipa, les applications Android à des fichiers .apk et les applications Windows Phone à des fichiers .xap ou .appx. Les applications internes doivent également être signées et non modifiées. Les utilisateurs peuvent accéder aux applications internes sur leurs terminaux comme suit : • Sur les terminaux BlackBerry 10, dans l'onglet Applications d'entreprise de BlackBerry World for Work • Sur les terminaux iOS, dans la liste Applications professionnelles attribuées de l'application Good for BES12 • Sur les terminaux Android et Windows Phone, dans la liste Applications professionnelles attribuées de BES12 Client Étapes à suivre pour ajouter des applications internes à la liste des applications Pour ajouter des applications internes, procédez comme suit : Étape Action Si vous ajoutez des applications Windows Phone, téléchargez un AET. Ajouter une application interne à la liste des applications. Télécharger un jeton d'inscription d'application pour les terminaux Windows Phone Il vous faut un jeton d'inscription d'application pour surveiller les applications Windows dans les profils de conformité. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Gestion des applications. 3. Cliquez sur Applications Windows Phone. 4. Cliquez sur Parcourir et accédez au fichier d'inscription d'application que vous souhaitez télécharger. 5. Cliquez sur Enregistrer. Ajouter une application interne à la liste des applications Avant de commencer: • Si vous ajoutez des applications Windows Phone, téléchargez un AET. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur 3. Cliquez sur Applications internes. 4. Cliquez sur Parcourir. Accédez à l'application que vous souhaitez ajouter ou mettre à jour. . 167 Applications 5. Cliquez sur Ouvrir. 6. Cliquez sur Ajouter. 7. Vous pouvez également ajouter le nom du fournisseur et la description de l'application. 8. Pour ajouter des captures d'écran de l'application, cliquez sur Ajouter. Accédez aux captures d'écran. Les formats .jpg, .jpeg, .png ou .gif sont pris en charge 9. Si vous ajoutez une application iOS, procédez comme suit : a. Dans la liste déroulante Facteur de forme du terminal pris en charge, sélectionnez les facteurs de forme sur lesquels l'application peut être installée. Par exemple, vous pouvez empêcher l'accès à l'application dans les applications professionnelles pour iPad b. Si vous souhaitez supprimer l'application du terminal lorsque celui-ci est supprimé de BES12, sélectionnez Supprimer l'application du terminal lorsque celui-ci est supprimé de BES12. Cette option s'applique uniquement aux applications dotées d'une disposition marquée comme requise et l'installation par défaut des applications requises est définie sur une seule demande. c. Si vous souhaitez empêcher la sauvegarde des applications des terminaux iOS sur le service en ligne iCloud, sélectionnez Désactiver la sauvegarde iCloud pour l'application. Cette option s'applique uniquement aux applications dotées d'une disposition marquée comme requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un utilisateur ou à un groupe. d. Dans la liste déroulante Méthode d'installation par défaut des applications requises, si vous souhaitez que les utilisateurs reçoivent une demande d'installation de l'application sur leurs terminaux iOS, sélectionnez Demander une fois. Si les utilisateurs ignorent l'invite, ils peuvent installer l'application ultérieurement à partir de la liste Applications professionnelles de l'application Good for BES12 ou à l'aide de l'icône Applications professionnelles du terminal. 10. Si vous ajoutez une application Android, dans la liste déroulante Envoyer à, effectuez l'une des opérations suivantes : • Si vous souhaitez que l'application soit envoyée à tous les terminaux Android, sélectionnez Tous les appareils Android . • Si vous souhaitez que l'application soit uniquement envoyée aux terminaux Android utilisant Samsung KNOX Workspace, sélectionnez Terminaux Samsung KNOX Workspace. 11. Cliquez sur Ajouter. Supprimer une application de la liste des applications Lorsque vous supprimez une application de la liste des applications, l'application est désattribuée des utilisateurs ou des groupes concernés et n'apparait plus dans le catalogue des applications professionnelles du terminal. 1. Sur la barre de menus, cliquez sur Applications. 2. Cochez la case en regard des applications que vous souhaitez supprimer de la liste des applications. 168 Applications 3. Cliquez sur . 4. Cliquez sur Supprimer. Comportement de l'application sur les terminaux Android Pour les terminaux activés avec « Contrôles MDM », « Travail et Personnel - Contrôle total (Secure Work Space) » et « Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) », il se produit ce qui suit : Type d'application Applications publiques dotée d'une disposition requise Applications publiques dotée d'une disposition facultative Applications internes dotées d'une disposition requise Comportement lorsque des Comportement lorsque des Comportement lorsque le applications sont attribuées à applications sont terminal est supprimé de un utilisateur désattribuées d'un utilisateur BES12 • L'utilisateur est invité à • installer les applications. • Les applications apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. L'utilisateur est invité à supprimer les applications. • • Vous pouvez utiliser un profil de conformité pour définir les actions prises si les applications requises ne sont pas installées. Les applications n'apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. • L'utilisateur peut choisir • d'installer les applications. L'utilisateur est invité à supprimer les applications. • Les applications apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. • Les applications n'apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. • L'utilisateur est invité à • installer les applications. L'utilisateur est invité à supprimer les applications. 169 • L'utilisateur est invité à supprimer les applications. • L'utilisateur est invité à supprimer les applications. • L'utilisateur est invité à supprimer les applications. Applications Type d'application Applications internes dotées d'une disposition facultative Comportement lorsque des Comportement lorsque des Comportement lorsque le applications sont attribuées à applications sont terminal est supprimé de un utilisateur désattribuées d'un utilisateur BES12 • Les applications apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. • Les applications n'apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. • Vous pouvez utiliser un profil de conformité pour définir les actions prises si les applications requises ne sont pas installées. • L'utilisateur peut choisir • d'installer les applications. L'utilisateur est invité à supprimer les applications. • Les applications apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. Les applications n'apparaissent dans la liste Applications professionnelles attribuées dans BES12 Client. • • L'utilisateur est invité à supprimer les applications. Pour les terminaux Samsung KNOX activés avec « Contrôles MDM », il se produit ce qui suit : Type d'application Applications publiques dotée d'une disposition requise Comportement lorsque l'application est attribuée à un utilisateur Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 • L'utilisateur est invité à • installer les applications. • Les applications attribuées apparaissent dans BES12 Client. Lorsque l'utilisateur clique sur le bouton Installer, Google Play 170 L'utilisateur est invité à désinstaller les applications. • L'utilisateur est invité à désinstaller les installations professionnelles attribuées Applications Type d'application Comportement lorsque l'application est attribuée à un utilisateur Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 s'ouvre et l'application est installée. Applications publiques dotée d'une disposition facultative Applications internes dotées d'une disposition requise Applications internes dotées d'une disposition facultative • Vous pouvez utiliser un profil de conformité pour définir les actions prises si les applications requises ne sont pas installées. • L'utilisateur peut choisir • d'installer les applications. • Les applications attribuées apparaissent dans BES12 Client. Lorsque l'utilisateur clique sur le bouton Installer, Google Play s'ouvre et les applications sont installées. • Les applications sont automatiquement installées sur les terminaux. L'utilisateur ne peut pas désinstaller les applications. L'utilisateur est invité à désinstaller les applications. • L'utilisateur est invité à désinstaller les installations professionnelles attribuées • Les applications sont • automatiquement supprimées du terminal. Les applications sont automatiquement supprimées du terminal. • Les applications attribuées sont installés depuis BES12 Client. • L'utilisateur peut choisir • d'installer les applications. Les applications sont • automatiquement supprimées du terminal. Les applications sont automatiquement supprimées du terminal. 171 Applications Type d'application Comportement lorsque l'application est attribuée à un utilisateur • Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 Les applications attribuées sont installés depuis BES12 Client. Pour les terminaux Samsung KNOX activés avec espace Travail uniquement (Samsung KNOX), il se produit ce qui suit : Type d'application Applications publiques dotée d'une disposition requise Applications publiques dotée d'une disposition facultative Comportement lorsque l'application est attribuée à un utilisateur Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 • Par défaut, toutes les applications publiques sont restreintes dans l'espace Travail. • • Les applications attribuées apparaissent dans BES12 Client, mais doivent être installées depuis Google Play. • Google Play doit être activé dans la stratégie informatique attribuée à l'utilisateur. • Vous pouvez utiliser un profil de conformité pour définir les actions prises si les applications requises ne sont pas installées. • Par défaut, toutes les applications sont restreintes dans l'espace Travail. • Les applications attribuées apparaissent dans BES12 Client, mais Les applications sont • supprimées du terminal et ne peuvent plus être installées depuis Google Play. • • 172 Les applications sont • supprimées du terminal et ne peuvent plus être installées depuis Google Play. • L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Les applications ne sont plus automatiquement restreintes dans Google Play. L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Les applications ne sont plus automatiquement Applications Type d'application Comportement lorsque l'application est attribuée à un utilisateur Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 doivent être installées depuis Google Play. restreintes dans Google Play. • Google Play doit être activé dans la stratégie informatique attribuée à l'utilisateur. Applications internes dotées d'une disposition requise • Les applications sont automatiquement installées sur les terminaux. L'utilisateur ne peut pas désinstaller les applications. • Les applications sont • automatiquement supprimées du terminal. L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Applications internes dotées d'une disposition facultative • L'utilisateur peut choisir • d'installer les applications. Les applications sont • automatiquement supprimées du terminal. • Les applications attribuées sont installés depuis BES12 Client. L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Pour les terminaux activés avec « Travail et Personnel - Contrôle total (Samsung KNOX) » et « Confidentialité de l'utilisateur (Samsung KNOX) », il se produit ce qui suit : Type d'application Applications publiques dotée d'une disposition requise Comportement lorsque l'application est attribuée à un utilisateur Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 • Par défaut, toutes les applications publiques sont restreintes dans l'espace Travail. • • L'utilisateur est invité à installer les applications. • Les applications attribuées apparaissent dans BES12 Client. 173 Les applications restent dans l'espace Personnel, mais sont supprimées de l'espace Travail. • L'espace Travail est supprimé et les applications restent dans l'espace Personnel. Applications Type d'application Comportement lorsque l'application est attribuée à un utilisateur Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 Lorsque l'utilisateur clique sur le bouton Installer, Google Play s'ouvre et l'application est installée. • Vous pouvez utiliser un profil de conformité pour définir les actions prises si les applications requises ne sont pas installées. • Par défaut, toutes les applications sont restreintes dans l'espace Travail. • Les applications attribuées apparaissent dans BES12 Client, mais doivent être installées depuis Google Play. • Google Play doit être activé dans la stratégie informatique attribuée à l'utilisateur. Applications internes dotées d'une disposition requise • Applications internes dotées d'une disposition facultative • Applications publiques dotée d'une disposition facultative • • L'espace Travail est supprimé et les applications restent dans l'espace Personnel. Les applications sont • automatiquement installées dans l'espace Travail. L'utilisateur ne peut pas désinstaller les applications. Les applications sont • automatiquement supprimées du terminal. L'espace Travail est supprimé et les applications restent dans l'espace Personnel. L'utilisateur peut choisir • d'installer les applications. Les applications sont • automatiquement supprimées du terminal. L'espace Travail est supprimé et les applications restent dans l'espace Personnel. 174 Les applications restent dans l'espace Personnel, mais sont supprimées de l'espace Travail. Applications Type d'application Comportement lorsque l'application est attribuée à un utilisateur • Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 Les applications attribuées sont installées depuis BES12 Client et ce, dans l'espace Travail. Pour les terminaux activés avec « Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) », il se produit ce qui suit : Comportement lorsque l'application est attribuée à un utilisateur Comportement lorsque Comportement lorsque le l'application est désattribuée terminal est supprimé de d'utilisateur BES12 Applications publiques dotée d'une disposition requise • Les applications sont automatiquement installées. • Les applications sont • automatiquement supprimées du terminal. Le profil professionnel et les applications professionnelles sont supprimés du terminal. Applications publiques dotée d'une disposition facultative • L'utilisateur peut choisir • d'installer les applications. Les applications sont • automatiquement supprimées du terminal. • Les applications apparaissent dans Google Play for Work. Le profil professionnel et les applications professionnelles sont supprimés du terminal. • Non pris en charge. Non pris en charge. Non pris en charge. Type d'application Applications internes • • Comportement de l'application sur les terminaux iOS Pour les terminaux activés avec « Contrôles MDM », « Travail et Personnel - Contrôle total (Secure Work Space) » et « Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) », il se produit ce qui suit : 175 Applications Type d'application Applications publiques dotée d'une disposition requise Applications publiques dotée d'une disposition facultative Comportement lorsque des Comportement lorsque des applications sont applications sont attribuées à désattribuées d'un un utilisateur utilisateur Comportement lorsque le terminal est supprimé de BES12 • Selon les paramètres des applications, l'utilisateur peut être invité à installer les applications. • • Les applications s'affichent dans l'application Applications professionnelles ou dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. • Les applications sont automatiquement supprimées du terminal. • Les applications ne s'affichent plus dans l'application Applications • professionnelles ni dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. • Vous pouvez utiliser un profil de conformité pour définir les actions prises si les applications requises ne sont pas installées. • L'utilisateur peut choisir • d'installer les applications. • Les applications s'affichent dans • l'application Applications professionnelles ou dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. 176 Les applications sont automatiquement supprimées du terminal. • Les applications ne s'affichent plus dans l'application Applications • professionnelles ni dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. Pour les terminaux avec Secure Work Space, l'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Pour les terminaux activés avec Contrôles MDM, toutes les applications professionnelles sont automatiquement supprimées. Pour les terminaux avec Secure Work Space, l'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Pour les terminaux activés avec Contrôles MDM, toutes les applications professionnelles sont automatiquement supprimées. Applications Type d'application Applications internes dotées d'une disposition requise Applications internes dotées d'une disposition facultative Comportement lorsque des Comportement lorsque des applications sont applications sont attribuées à désattribuées d'un un utilisateur utilisateur Comportement lorsque le terminal est supprimé de BES12 • Selon les paramètres des applications, l'utilisateur peut être invité à installer les applications. • • Les applications s'affichent dans l'application Applications professionnelles ou dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. • Les applications sont automatiquement supprimées du terminal. • Les applications ne s'affichent plus dans l'application Applications • professionnelles ni dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. • Vous pouvez utiliser un profil de conformité pour définir les actions prises si les applications requises ne sont pas installées. • L'utilisateur peut choisir • d'installer les applications. • Les applications s'affichent dans • l'application Applications professionnelles ou dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. 177 Les applications sont automatiquement supprimées du terminal. • Les applications ne s'affichent plus dans l'application Applications • professionnelles ni dans l'application Good for BES12 sur les terminaux activés avec Confidentialité de l'utilisateur. Pour les terminaux avec Secure Work Space, l'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Pour les terminaux activés avec Contrôles MDM, toutes les applications professionnelles sont automatiquement supprimées. Pour les terminaux avec Secure Work Space, l'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. Pour les terminaux activés avec Contrôles MDM, toutes les applications professionnelles sont automatiquement supprimées. Applications Comportement de l'application sur les terminaux BlackBerry Pour les terminaux BlackBerry activés avec Travail et Personnel - Entreprise (Espace Travail uniquement) ou Travail et Personnel - Régulé, il se produit ce qui suit : Type d'application Applications publiques dotée d'une disposition requise Applications publiques dotée d'une disposition facultative Applications internes dotées d'une disposition requise Applications internes dotées d'une disposition facultative Comportement lorsque des Comportement lorsque des applications sont applications sont attribuées à désattribuées d'un un utilisateur utilisateur Comportement lorsque le terminal est supprimé de BES12 • L'utilisateur est invité à • installer les applications. • • Les applications apparaissent dans l'onglet Applications publiques de BlackBerry World for Work. L'utilisateur est invité à désinstaller les applications. L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. • L'utilisateur peut choisir • d'installer les applications. L'utilisateur est invité à désinstaller les applications. • • Les applications apparaissent dans l'onglet Applications publiques de BlackBerry World for Work. L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. • Les applications sont automatiquement installées sur les terminaux. • Les applications sont automatiquement supprimées du terminal. • • L'utilisateur ne peut pas désinstaller les applications. L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. • Les applications sont automatiquement installées sur les terminaux. • Les applications sont automatiquement supprimées du terminal. • L'espace Travail et toutes les applications professionnelles sont automatiquement supprimées. 178 Applications Type d'application Comportement lorsque des Comportement lorsque des applications sont applications sont attribuées à désattribuées d'un un utilisateur utilisateur • Comportement lorsque le terminal est supprimé de BES12 L'utilisateur ne peut pas désinstaller les applications. Comportement de l'application sur les terminaux Windows 10 Type d'application Comportement lorsque des Comportement lorsque des Comportement lorsque le applications sont attribuées à applications sont terminal est supprimé de un utilisateur désattribuées d'un utilisateur BES12 Applications Windows Store hors ligne dotée d'une disposition requise • Les applications sont automatiquement installées sur les terminaux. Les utilisateurs ne peuvent pas désinstaller les applications. • Les applications sont automatiquement supprimées des terminaux. • Les applications sont automatiquement supprimées des terminaux. Applications Windows Store en ligne dotée d'une disposition requise • Les applications sont automatiquement installées sur les terminaux. Les utilisateurs ne peuvent pas désinstaller les applications. • Les applications sont automatiquement supprimées des terminaux. • Les applications sont automatiquement supprimées des terminaux. Applications Windows Store hors ligne dotée d'une disposition facultative • Les utilisateurs peuvent choisir d'installer les applications. • Les utilisateurs ne sont • pas invités à désinstaller les applications. • Pour les applications hors ligne, les utilisateurs installent l'application depuis BES12 App Catalog. 179 Les utilisateurs ne sont pas invités à désinstaller les applications attribuées. Applications Type d'application Comportement lorsque des Comportement lorsque des Comportement lorsque le applications sont attribuées à applications sont terminal est supprimé de un utilisateur désattribuées d'un utilisateur BES12 • Non pris en charge sur les terminaux Windows 10 Mobile. • Les utilisateurs peuvent choisir d'installer les applications. • Pour les applications en ligne, les utilisateurs installent l'application à partir de l'application Windows Store sur leurs terminaux. • Non pris en charge sur les terminaux Windows 10 Mobile. Applications internes dotées d'une disposition requise • Applications internes dotées d'une disposition facultative • Applications Windows Store en ligne dotée d'une disposition facultative • Les utilisateurs ne sont • pas invités à désinstaller les applications. Les utilisateurs ne sont pas invités à désinstaller les applications. Non pris en charge • Non pris en charge • Non pris en charge Non pris en charge • Non pris en charge • Non pris en charge Empêcher les utilisateurs d'installer des applications iOS, Android et Windows Phone spécifiques Vous pouvez créer une liste d'applications iOS, Android et Windows Phone que vous ne souhaitez pas que les utilisateurs installent sur leurs terminaux. Par exemple, vous pouvez empêcher les utilisateurs d'installer des applications malveillantes ou nécessitant une quantité élevée de ressources. Pour appliquer une action particulière si une application limitée est installée sur un terminal iOS ou un terminal Android n'utilisant pas Samsung KNOX, vous devez créer un profil de conformité et l'attribuer aux utilisateurs ou groupes d'utilisateurs. Le profil de conformité spécifie les actions que seront prises si l'utilisateur ne supprime pas l'application limitée du terminal. Si une application limitée est installée par un utilisateur, le terminal de l'utilisateur signale qu'il n'est pas conforme et les 180 Applications applications limitées, et les actions qui seront prises si l'application n'est pas désinstallée s'affichent dans le rapport de conformité. Pour Windows Phone version 8.1 ou ultérieure et pour les terminaux Android utilisant KNOX MDM, il vous suffit d'ajouter l'application au profil de conformité et vous n'avez pas à spécifier de mesures de conformité. En effet, l'utilisateur n'est pas autorisé à installer une application que vous ajoutez au profil de conformité. Si un utilisateur tente d'installer une application limitée, le terminal affiche un message indiquant que l'application est limitée et qu'elle ne peut pas être installée. Il n'est pas nécessaire de créer une liste des applications limitées pour les terminaux BlackBerry 10 et Android utilisant Samsung KNOX Workspace ou Android for Work car les utilisateurs peuvent uniquement installer les applications que vous avez autorisées dans l'espace Travail. Étapes à suivre pour empêcher les utilisateurs d'installer des applications Pour empêcher les utilisateurs d'installer des applications, procédez comme suit : Étape Action Ajouter une application à la liste des applications limitées Créez ou modifiez un profil de conformité définissant les actions prises si une application limitée est installée sur un terminal. Attribuez le profil de conformité à un utilisateur, à un groupe d'utilisateurs ou à un groupe de terminaux. Ajouter une application à la liste des applications limitées La liste des applications limitées correspond à la bibliothèque des applications que vous souhaitez empêcher les utilisateurs d'installer sur un terminal iOS, Android ou Windows Phone. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur Applications limitées. 3. Cliquez sur 4. Effectuez l'une des tâches suivantes : . Tâche Étapes Ajouter une application iOS à la liste des applications limitées 1. Cliquez sur Boutique d'applications. 181 Applications Tâche Ajouter une application Android à la liste des applications limitées Ajouter une application Windows Phone à la liste des applications limitées Étapes 2. Dans le champ de recherche, recherchez l'application que vous souhaitez ajouter. Vous pouvez rechercher une application par nom, fournisseur ou URL App Store. 3. Cliquez sur Rechercher. 4. Dans les résultats de la recherche, cliquez sur Ajouter pour ajouter une application. 1. Cliquez sur Google Play. 2. Dans le champ Nom de l'application, saisissez le nom de l'application. 3. Dans le champ Adresse Web de l'application sur Google Play, saisissez l'adresse Web de l'application dans Google Play. 4. Cliquez sur Ajouter pour ajouter l'application ou sur Ajouter et Nouveau pour ajouter une autre application après avoir ajouté l'application en cours. 1. Cliquez sur Windows Phone Store. 2. Dans le champ Nom de l'application, saisissez le nom de l'application. 3. Dans le champ Adresse Web de l'application sur Windows Phone Store, saisissez l'adresse Web de l'application dans Windows Store. 4. Cliquez sur Ajouter pour ajouter l'application ou sur Ajouter et Nouveau pour ajouter une autre application après avoir ajouté l'application en cours. Gestion des groupes d'applications Les groupes d'applications vous permettent de créer un ensemble d'applications à attribuer à des utilisateurs, groupes d'utilisateurs ou groupes de terminaux. Les groupes d'applications permettent une gestion plus efficace et plus cohérente des applications. Par exemple, vous pouvez utiliser les groupes d'applications pour grouper la même application pour plusieurs types de terminaux ou pour grouper des applications pour des utilisateurs dotés du même rôle au sein de votre organisation. BES12 propose des groupes d'applications préconfigurées appelées « Applications Android for Work recommandées », ainsi que BlackBerry Productivity Suite. 182 Applications Créer un groupe d'applications Avant de commencer: Ajoutez les applications à la liste des applications. 1. Sur la barre de menus, cliquez sur Applications > Groupes d'applications. 2. Cliquez sur 3. Saisissez le nom et la description du profil du groupe d'applications. 4. Cliquez sur 5. Recherchez et sélectionnez les applications que vous souhaitez ajouter. 6. Si vous ajoutez des applications iOS, effectuez l'une des tâches suivantes : . . Tâche Étapes Si vous n'avez pas ajouté de compte VPP 1. Cliquez sur Ajouter. Si vous avez ajouté au moins un compte VPP 1. Cliquez sur Ajouter. 2. Sélectionnez Oui si vous souhaitez attribuer une licence à l'application iOS. Sélectionnez Non si vous ne souhaitez pas attribuer une licence à l'application ou n'avez pas de licence à lui attribuer. 3. Si vous attribuez une licence à l'application, dans la liste déroulante Licences d'applications, sélectionnez le compte VPP à associer à l'application. 4. Dans la liste déroulante Attribuer une licence à, attribuez la licence à l'utilisateur ou au terminal. Si aucune valeur n'est spécifiée dans la liste déroulante Licence d'application, la liste déroulante Attribuer une licence à n'est pas disponible. 5. Cliquez sur Ajouter, puis de nouveau sur Ajouter. Les utilisateurs doivent suivre les instructions qui s'affichent sur leurs terminaux pour inscrire le compte VPP de leur entreprise avant de pouvoir installer des applications prépayées. Les utilisateurs doivent effectuer cette tâche une seule fois. Remarque: si vous autorisez l'accès à plusieurs licences dont vous disposez, les premiers utilisateurs à accéder aux licences disponibles peuvent installer l'application. 183 Applications 7. Si vous ajoutez des applications Android avec une configuration d'application associée, dans la liste déroulante Configuration d'application, sélectionnez la configuration à appliquer à l'application. 8. Sélectionnez les applications que vous souhaitez ajouter au groupe d'applications. 9. Cliquez sur Ajouter, puis de nouveau sur Ajouter. Informations connexes Attribuer une application à un groupe d'utilisateurs, à la page 203 Attribuer une application à un compte d'utilisateur, à la page 223 Modifier un groupe d'applications 1. Sur la barre de menus, cliquez sur Applications > Groupes d'applications. 2. Cliquez sur le groupe d'applications que vous souhaitez modifier. 3. Procédez aux modifications nécessaires. 4. Cliquez sur Enregistrer. Gestion des comptes VPP Apple Le Programme d'achat en volume (Volume Purchase Program - VPP) Apple vous permet d'acheter et de distribuer des applications iOS en bloc. Vous pouvez associer des comptes Apple VPP à un domaine BES12 afin de pouvoir distribuer les licences achetées pour les applications iOS associées aux comptes VPP. Ajouter un compte VPP Apple 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur Licences d'applications iOS. 3. Cliquez sur Ajouter un compte d'achat en volume Apple. 4. Saisissez le nom et les informations du compte VPP. 5. Dans le champ Jeton de service d'achat en volume, copiez et collez le code 64 bits à partir du fichier de jeton .vpp. Il s'agit du fichier que le détenteur du compte VPP depuis la boutique VPP. 6. Cliquez sur Suivant. 7. Sélectionnez les applications que vous souhaitez ajouter à la liste des applications. Si l'application a déjà été ajoutée à la liste des applications, vous ne pouvez pas la sélectionner et sont état indique « Déjà ajoutée ». 184 Applications 8. Si vous souhaitez supprimer des applications des terminaux lors de leur suppression de BES12, sélectionnez Supprimer l'application du terminal lorsque le terminal est supprimé du système. 9. Si vous souhaitez empêcher la sauvegarde des applications des terminaux iOS sur le service en ligne iCloud, cochez la case correspondant à cette option. Cette option s'applique uniquement aux applications dotées d'une disposition marquée comme requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un utilisateur ou à un groupe. 10. Dans la liste déroulante Méthode d'installation par défaut, effectuez l'une des opérations suivantes : • Si vous souhaitez que les utilisateurs reçoivent une demande d'installation des applications sur leurs terminaux iOS, sélectionnez Demander une fois. Si les utilisateurs ignorent l'invite, ils peuvent installer les applications ultérieurement à partir de la liste Applications professionnelles de l'application Good for BES12 ou à l'aide de l'icône Applications professionnelles du terminal. • Aucune invite La méthode d'installation par défaut s'applique uniquement aux applications dotées d'une disposition marquée comme requise. Vous pouvez définir la disposition de l'application lorsque vous attribuez l'application à un utilisateur ou à un groupe. 11. Cliquez sur Ajouter. Modifier un compte VPP Apple 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur Licences d'applications iOS. 3. Cliquez sur 4. Modifiez les informations de compte VPP. 5. Cliquez sur Enregistrer. . Mettre à jour les informations de compte VPP Apple Lorsque la page Licences des applications est ouverte, les informations de licence les plus actuelles sont automatiquement synchronisées à partir des serveurs VPP Apple. Si nécessaire, vous pouvez aussi mettre à jour manuellement les informations de licence que vous avez ajoutées à BES12. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur Licences d'applications iOS. 3. Cliquez sur . 185 Applications Supprimer un compte VPP Apple Avant de commencer: Supprimez les applications dotées de licences associées des utilisateurs avant de supprimer le compte VPP. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur Licences d'applications iOS. 3. Cliquez sur 4. Cliquez sur Supprimer. . Attribution de licences VPP Apple aux terminaux Vous pouvez attribuer des licences VPP (Volume Purchase Program) Apple aux terminaux exécutant iOS version 9 ou ultérieure. Attribuer de licences VPP à des terminaux plutôt qu'à des utilisateurs ou groupes simplifie le processus pour les utilisateurs, car ils n'ont plus besoin d'un identifiant Apple pour installer des applications. En outre, les applications n'apparaissent pas dans l'historique d'achat et les installations d'applications des utilisateurs. Lorsque vous modifiez le type d'attribution existant pour une application afin de remplacer « Utilisateur attribué » par « Terminal attribué », l'utilisateur doit réinstaller l'application avant que la nouvelle attribution soit appliquée et affichée dans la console de gestion BES12. L'attribution de licences VPP est prise en charge sur les terminaux iOS avec les types d'activation suivants. • Contrôles MDM • Travail et Personnel - Contrôle total • Travail et Personnel - Confidentialité de l'utilisateur Pour le type d'activation Travail et Personnel - Confidentialité de l'utilisateur, vous devez cocher la case Autoriser l'accès à la carte SIM et aux informations matérielles du terminal pour activer la gestion de licences basée sur la carte SIM dans le profil d'activation pour que cette fonctionnalité soit prise en charge. Vous pouvez attribuer des licences VPP à des terminaux lorsque des applications sont ajoutées à l'un des groupes ou comptes suivants : • Comptes d'utilisateur • Groupes d'applications • Groupes d'utilisateurs L'attribution de licences VPP à des groupes de terminaux n'est pas prise en charge. Pour plus d'informations, reportez-vous à Gestion des comptes VPP Apple . 186 Applications Afficher une attribution de licence VPP Apple Vous pouvez afficher l'état de l'attribution de licence VPP Apple dans votre domaine. 1. Sur la barre de menus, cliquez sur Applications > Licences d'applications iOS. 2. Si vous possédez plusieurs comptes VPP Apple, cliquez sur celui pour lequel vous souhaitez afficher l'attribution de licence VPP. Pour chaque application iOS du domaine, vous pouvez afficher les informations de licence VPP suivantes : 3. • Le nombre de licences VPP disponibles • Le nombre de licences VPP utilisées Dans la colonne Licences utilisées correspondant à l'application, cliquez sur le lien Licences utilisées. Pour l'application spécifiée, vous pouvez afficher les informations d'attribution de licence d'application suivantes : 4. • Les noms d'utilisateur pour lesquels l'application possède une licence • Si la licence d'application est attribuée à un compte d'utilisateur ou à un terminal • Si une licence VPP est utilisée ou non • Si l'application est installée ou non Cliquez sur Fermer. Spécifier si une application est requise ou facultative Vous pouvez spécifier si une application est requise ou facultative Les actions prises lorsqu'une application est définie sur Requise ou Facultative dépendent du type d'application, du terminal et du type d'activation. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Si l'application que vous souhaitez modifier est attribuée à un compte d'utilisateur, dans les résultats de la recherche, cliquez sur le nom d'un compte d'utilisateur. 3. Si l'application que vous souhaitez modifier est attribuée à un groupe, dans le volet de gauche, cliquez sur Groupes pour développer la liste des groupes d'utilisateurs, puis cliquez sur le nom du groupe. 4. Dans la section Applications attribuées à des groupes et utilisateurs, cliquez sur la disposition de l'application que vous souhaitez modifier. 5. Dans la liste déroulante Disposition, sélectionnez Facultative ou Obligatoire. 6. Cliquez sur Attribuer. 187 Applications Afficher l'état des applications et des groupes d'applications attribués à des comptes d'utilisateur 1. Sur la barre de menus, cliquez sur Applications. 2. Sous Utilisateurs appliqués pour l'application ou le groupe d'applications que vous souhaitez afficher, cliquez sur le chiffre. 3. Cliquez sur Attribué aux utilisateurs x pour afficher les comptes d'utilisateur auxquels est attribuée cette application. 4. Affichez la colonne Attribution pour vérifier si l'application ou le groupe d'applications a été directement attribué au compte d'utilisateur ou à un groupe. 5. Affichez la colonne État pour vérifier si une application a été installée sur un terminal. Les états possibles sont les suivants : • Installée : l'application a bien été installée sur le terminal de l'utilisateur. • Non installée : l'application n'a pas encore été installée sur le terminal de l'utilisateur. • Ne peut pas être installée : l'application n'est pas prise en charge sur le terminal de l'utilisateur. • Non pris en charge : le système d'exploitation du terminal ne prend pas en charge cette application. Afficher les applications attribuées à des groupes d'utilisateurs 1. Sur la barre de menus, cliquez sur Applications. 2. Sous Attribué aux utilisateurs pour l'application que vous souhaitez afficher, cliquez sur le chiffre. 3. Cliquez sur Attribué aux utilisateurs x pour afficher les groupes d'utilisateurs auxquels est attribuée cette application. 188 Applications Mettre à jour les informations dans la liste des applications Vous pouvez mettre à jour la liste des applications pour vérifier que vous disposez des informations les plus récentes sur les applications BlackBerry 10 et iOS dans la liste des applications. Si vous disposez d'une configuration Android for Work, vous pouvez également mettre à jour les informations relatives aux applications Android. Si vous avez ajouté des applications Android avant d'avoir configuré Android for Work ou que les autorisations des applications ont changé, vous devez mettre à jour les informations relatives aux applications pour qu'elles soient disponibles sur les terminaux Android for Work. Cela s'applique également si vous apportez des modifications à votre connexion Android for Work. Les informations relatives à Google Play, si vous ne disposez pas d'une connexion Android for Work et d'applications Windows Phone, doit être mise à jour manuellement. La mise à jour des informations d'une application ne signifie pas que celle-ci est mise à jour sur le terminal de l'utilisateur. Les utilisateurs reçoivent des notifications de mise à jour pour leurs applications professionnelles de la même façon qu'ils reçoivent des notifications de mise à jour pour leurs applications personnelles. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur . Mettre à jour les autorisations des applications Android for Work Si vous n'acceptez pas les autorisations d'applications au nom des utilisateurs, l'application ne peut pas être attribuée aux terminaux Android for Work. Vous devez accepter les autorisations d'applications lorsque vous ajoutez l'application à la liste d'applications, et vous pouvez devoir les accepter à nouveau ultérieurement si elles changent. Les applications peuvent également être non approuvées ou supprimées depuis la console Google Play for Work mais toujours apparaitre comme disponibles dans BES12. Vous devez mettre à jour les informations sur les applications dans BES12 pour synchroniser les autorisations avec Google Play for Work. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur 3. Dans la liste des applications, les applications dont les autorisations ont changé sont indiquées par une icône d'avertissement et un message d'état. Les états suivants peuvent survenir après la mise à jour de la liste d'applications. Effectuez l'une des tâches suivantes pour résoudre le problème : . 189 Applications État Étapes Accepter à nouveau les autorisations des applications Les autorisations d'applications ont été modifiées dans la console Google Play for Work. Pour pouvoir gérer l'application, vous devez réaccepter les autorisations de l'application. Pour réaccepter les autorisations, procédez comme suit : Supprimer l'application depuis BES12 1. Cliquez sur Réaccepter les autorisations de l'application. 2. Cliquez sur Accepter. L'application a été non approuvée dans la console Google Play for Work mais n'a pas été supprimée de BES12. Si vous souhaitez continuer à gérer cette application sur les terminaux, vous devez approuver l'application dans la console Google Play for Work. Si vous ne souhaitez plus gérer l'application, procédez comme suit : 1. Cliquez sur Supprimer l'application depuis BES12. 2. Cliquez sur Supprimer. Approuver l'application dans Google Play for L'application a été non approuvée dans la console Google Play for Work. Work Pour pouvoir gérer l'application, vous devez l'approuver dans la console Google Play for Work. Pour approuver l'application, procédez comme suit : L'application a été ajoutée dans Google Play for Work et est ajoutée à BES12 4. 1. Cliquez sur Approuver l'application dans Google Play for Work. 2. Cliquez sur Suivant. Les applications qui ont été ajoutées à la console Google Play for Work, mais pas à BES12, sont automatiquement synchronisées avec BES12 lorsque vous mettez à jour la liste des applications. Vous n'avez aucune action à effectuer. Cliquez sur Fermer. Accepter les autorisations d'applications pour les applications Android for Work Vous devez accepter les autorisations d'applications pour pouvoir gérer une application Android sur les terminaux Android for Work. Vous pouvez accepter des autorisations d'applications lorsque vous ajoutez l'application à BES12 ou après la mise à jour de la liste d'applications. Si vous n'acceptez pas les autorisations d'applications dans ces cas, vous pouvez également les 190 Applications accepter à partir de l'écran d'informations de l'application. Les applications qui possèdent des changements d'autorisations présentent une icône d'avertissement dans la liste des applications. Avant de commencer: • Mettez à jour la liste d'applications. 1. Sur la barre de menus, cliquez sur Applications. 2. Cliquez sur l'application pour laquelle vous voulez accepter des autorisations. 3. Cliquez sur Accepter les autorisations des applications pour exécuter cette action. 4. Sélectionnez Accepter. 5. Cliquez sur Enregistrer. Définir le nom d'entreprise pour BlackBerry World Vous pouvez ajouter le nom de votre organisation à la boutique des applications de BlackBerry World for Work. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Développez Gestion des applications et cliquez sur BlackBerry World for Work. 3. Dans Nom d'entreprise, saisissez le nom de votre organisation. 4. Cliquez sur Enregistrer. Personnalisation de l'icône Applications professionnelles pour les terminaux iOS Lorsque les utilisateurs activent les terminaux iOS avec les types d'activation Contrôles MDM ou Travail et Personnel - Contrôle total, une icône Applications professionnelles s'affiche sur le terminal. Les utilisateurs peuvent toucher l'icône pour voir les applications professionnelles qui leur ont été confiées, et ils peuvent installer ou mettre à jour les applications selon le besoin. Vous pouvez personnaliser l'apparence de l'icône Applications professionnelles en sélectionnant une image et un nom pour l'icône. Le nom par défaut de l'icône Applications professionnelles est Applications professionnelles et l'icône par défaut affiche le logo BlackBerry. 191 Applications Personnaliser l'icône Applications professionnelles Lorsque vous personnalisez l'icône Applications professionnelles, l'icône est mise à jour sur tous les terminaux iOS activés. Remarque: cette fonction n'est pas prise en charge sur les terminaux dotés du type d'activation Travail et Personnel Confidentialité de l'utilisateur. Avant de commencer: vérifiez que l'image que vous prévoyez d'utiliser pour l'icône Applications professionnelles répond aux exigences suivantes : • Format d'image de type .png, .jpg ou .jpeg. • Évitez d'utiliser des images .png présentant des éléments transparents. Les éléments transparents s'affichent en noir sur le terminal. • Pour connaitre les tailles suggérées des images, rendez-vous sur developer.apple.com. et consultez la rubrique Tailles des icônes et des images. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Gestion des applications. 3. Cliquez sur Applications professionnelles pour iOS. 4. Dans le champ Nom, saisissez le nom de l'icône personnalisée. Le nom s'affiche sur le terminal juste sous l'icône. 5. Cliquez sur Parcourir. Localisez et sélectionnez une image pour l'icône Applications professionnelles. Les formats d'image pris en charge sont les suivants : .png, .jpg ou .jpeg. 6. Cliquez sur Enregistrer. 192 Utilisateurs et groupes Utilisateurs et groupes 11 Vous pouvez créer des comptes d'utilisateur, puis des groupes d'utilisateurs pour gérer plus efficacement les utilisateurs et les terminaux. Procédure de création de groupes et comptes d'utilisateur Pour gérer les utilisateurs et les terminaux de votre organisation, procédez comme suit : Étape Action Créez des rôles d'utilisateurs. Créez des groupes d'utilisateurs. Créez des comptes d'utilisateur. Si vous le souhaitez, créez des groupes de terminaux. Création de rôles d'utilisateur Les rôles d'utilisateur vous permettent de spécifier les fonctionnalités mises à la disposition des utilisateurs dans BES12 SelfService. BES12 inclut un rôle d'utilisateur par défaut préconfiguré. Le rôle d'utilisateur par défaut est configuré pour autoriser toutes les fonctionnalités BES12 Self-Service. De plus, il est attribué au groupe Tous les utilisateurs. Vous pouvez renommer, modifier, supprimer ou réattribuer le rôle d'utilisateur par défaut. Vous pouvez également le supprimer du groupe Tous les utilisateurs. Si vous souhaitez limiter l'accès des utilisateurs à certaines fonctionnalités BES12 Self-Service, vous pouvez créer de nouveaux rôles d'utilisateur ou modifier un rôle d'utilisateur existant. Vous pouvez attribuer des rôles d'utilisateur aux groupes ou directement aux utilisateurs. 193 Utilisateurs et groupes Fonctionnalités de BES12 Self-Service Le tableau suivant répertorie les capacités de BES12 Self-Service : Fonctionnalité Description Localiser le terminal Cette fonctionnalité permet aux utilisateurs de visualiser l'emplacement de leurs terminaux iOS, Android ou Windows 10 Mobile sur une carte. Pour que cette fonctionnalité soit disponible, un profil de service de localisation doit être attribué à l'utilisateur. Pour plus d'informations, reportez-vous à Créer un profil de service de localisation. Supprimer toutes les données Cette fonctionnalité permet aux utilisateurs d'envoyer la commande « Delete all device data » du terminal (Supprimer toutes les données du terminal) à un terminal. Cette commande supprime toutes les informations utilisateur et toutes les données d'applications qui sont stockées sur le terminal, y compris les informations de l'espace de travail. Elle rétablit les paramètres d'usine du terminal et supprime ce dernier dans BES12. Supprimer uniquement les données professionnelles Cette fonctionnalité permet aux utilisateurs d'envoyer la commande « Delete only work data » (Supprimer les données professionnelles uniquement) à un terminal. Cette commande supprime les données professionnelles, y compris les stratégies informatiques, les profils, les applications et les certificats. Verrouiller et déverrouiller les applications Good Dynamics Si des terminaux d'utilisateurs sont activés pour Good Dynamics, cette fonctionnalité permet aux utilisateurs de verrouiller les applications Good Dynamics installées sur leurs terminaux ou de générer des codes de déverrouillage pour déverrouiller les applications. Lorsqu'un utilisateur verrouille une application, plus personne ne peut l'ouvrir. Supprimer les données d'application Good Dynamics Si des terminaux d'utilisateurs sont activés pour Good Dynamics, cette fonctionnalité permet aux utilisateurs de supprimer toutes les données d'une application Good Dynamics installée sur un terminal. La commande supprime toutes les données stockées par l'application, mais l'application même n'est pas supprimée. Spécifier un mot de passe d'activation. Cette fonctionnalité permet aux utilisateurs de créer des mots de passe d'activation qu'ils peuvent ensuite utiliser pour activer leurs terminaux dans BES12. Vous pouvez configurer le délai d'expiration par défaut et la complexité exigée pour le mot de passe dans Paramètres > Self-Service > Paramètres Self-Service. Gérer les certificats utilisateur Cette fonctionnalité permet aux utilisateurs de charger des certificats utilisateur pour leurs terminaux. Vous pouvez fournir des instructions aux utilisateurs sur les certificats dont ils ont besoin et sur les emplacements d'où ils peuvent télécharger ces certificats. 194 Utilisateurs et groupes Création d'un rôle d'utilisateur Vous pouvez créer un rôle d'utilisateur personnalisé et l'attribuer à des utilisateurs ou groupes pour spécifier les fonctionnalités qu'ils peuvent utiliser dans BES12 Self-Service. 1. Dans la barre de menus, cliquez sur Paramètres > Self-Service. 2. Cliquez sur Rôles d'utilisateur. 3. Cliquez sur 4. Saisissez le nom et la description du rôle d'utilisateur. 5. Pour copier les autorisations d'un autre rôle, cliquez sur un rôle de la liste déroulante Autorisations copiées à partir du rôle. 6. Sélectionnez les fonctionnalités que vous souhaitez mettre à la disposition d'un utilisateur. 7. Cliquez sur Enregistrer. Comment BES12 choisit-il l'attribution du rôle d'utilisateur ? Un utilisateur ne peut avoir qu'un seul rôle. BES12 utilise les règles suivantes pour déterminer le rôle à attribuer à un utilisateur : • Un rôle directement attribué à un compte d'utilisateur est prioritaire sur un rôle attribué indirectement par un groupe d'utilisateurs. • Si un utilisateur est membre de plusieurs groupes d'utilisateurs possédant des rôles d'utilisateur différents, BES12 lui attribue le rôle dont le rang est le plus élevé. Classement des rôles d'utilisateur Le classement permet de déterminer quel rôle BES12 attribue à un utilisateur lorsqu'il est membre de plusieurs groupes d'utilisateurs qui possèdent des rôles différents. 1. Dans la barre de menus, cliquez sur Paramètres > Self-Service. 2. Cliquez sur Rôles d'utilisateur. 3. Utilisez les flèches pour déplacer les rôles vers le haut ou le bas du classement. 4. Cliquez sur Enregistrer. Attribuer un rôle d'utilisateur à un groupe Un rôle d'utilisateur spécifie les fonctionnalités mises à la disposition des utilisateurs dans BES12 Self-Service. 195 Utilisateurs et groupes Avant de commencer: Création d'un rôle d'utilisateur. 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez un groupe d'utilisateurs. 3. Dans les résultats de la recherche, cliquez sur le nom du groupe d'utilisateurs. 4. Cliquez sur l'onglet Paramètres. 5. Dans la section Rôle d'utilisateur, cliquez sur 6. Dans la liste déroulante, cliquez sur le nom du rôle que vous souhaitez attribuer au groupe. 7. Cliquez sur Ajouter ou Remplacer. . Attribuer un rôle d'utilisateur à un utilisateur Un rôle d'utilisateur spécifie les fonctionnalités mises à la disposition des utilisateurs dans BES12 Self-Service. Avant de commencer: Création d'un rôle d'utilisateur. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Cliquez sur 5. Dans la liste déroulante Attribution directe de rôle, sélectionnez le rôle que vous souhaitez attribuer. Si vous sélectionnez Aucun, le rôle de l'utilisateur sera attribué par un groupe. Si aucune attribution de groupe n'est effectuée, l'utilisateur n'aura pas accès à BES12 Self-Service. 6. Cliquez sur Enregistrer. . Création et gestion de groupes d'utilisateurs Un groupe d'utilisateurs est un ensemble d'utilisateurs partageant des propriétés communes. L'administration d'utilisateurs sous forme de groupe est plus efficace que l'administration d'utilisateurs individuels car elle permet d'ajouter des propriétés, de les modifier ou de les supprimer simultanément de tous les membres du groupe. Les utilisateurs peuvent appartenir à plusieurs groupes à la fois. Vous pouvez attribuer une stratégie informatique, des profils et des applications dans la console de gestion lorsque vous créez ou mettez à jour les paramètres d'un groupe d'utilisateurs. Vous pouvez créer deux types de groupes d'utilisateurs : les groupes de répertoires associés et les groupes locaux. Les groupes de répertoires associés lient les groupes à votre annuaire d'entreprise. Seuls les comptes d'utilisateur associés à l'annuaire d'entreprise peuvent être membres d'un groupe lié par annuaire. Les groupes locaux sont créés et gérés dans BES12 et peuvent se voir attribuer des comptes d'utilisateur locaux et des comptes d'utilisateur associés à l'annuaire d'entreprise. 196 Utilisateurs et groupes Une fois les groupes d'utilisateurs créés, vous pouvez définir un groupe comme membre d'un autre groupe. Lorsque vous imbriquez un groupe dans un groupe d'utilisateurs, les membres du groupe imbriqué héritent des propriétés du groupe d'utilisateurs. Vous pouvez créer et gérer la structure d'imbrication dans BES12 et imbriquer des groupes de répertoires associés et des groupes locaux dans chaque type de groupe d'utilisateurs. Création d'un groupe lié par annuaire Vous pouvez créer des groupes dans BES12 qui sont reliés aux groupes de votre répertoire d'entreprise. À l'intervalle spécifié, BES12 synchronise automatiquement l'appartenance d'un groupe lié par répertoire avec les groupes de répertoires d'entreprise qui lui sont associés. Par exemple, vous pouvez ajouter un compte d'utilisateur de répertoire à un groupe de répertoires d'entreprise que vous avez relié à un groupe dans BES12. Lorsque BES12 synchronise l'appartenance de groupe, le compte d'utilisateur BES12 correspondant à l'utilisateur est automatiquement ajouté au groupe lié par répertoire dans BES12. De même, si vous supprimez cet utilisateur du groupe de répertoires, l'utilisateur est automatiquement supprimé du groupe dans BES12 à la prochaine synchronisation. Seuls les comptes d'utilisateur associés à l'annuaire d'entreprise peuvent être membres d'un groupe lié par annuaire. Pour activer et configurer cette fonctionnalité, consultez Activation des groupes liés par répertoire dans le contenu relatif à la configuration. Vous avez également la possibilité d'autoriser BES12 à créer un compte d'utilisateur BES12 pour un utilisateur de répertoire au cours du processus de synchronisation, si cet utilisateur n'a pas déjà un. Si l'intégration n'est pas activée, vous devez manuellement créer les utilisateurs dans BES12 et le processus de synchronisation doit intervenir avant que les comptes d'utilisateur s'affichent dans la liste des utilisateurs de groupe lié par répertoire. Vous pouvez lier plusieurs groupes d'annuaires d'entreprise à un groupe lié par annuaire. Par exemple, si vous disposez de deux instances de Microsoft Active Directory et d'une instance LDAP, vous pouvez les connecter à BES12. Un groupe lié par répertoire ne peut être lié qu'à un seul répertoire d'entreprise. Par exemple, si BES12 a deux connexions Microsoft Active Directory (A et B), et que vous créez un groupe lié par répertoire qui est relié à la connexion A, vous pouvez uniquement relier les groupes de répertoires de la connexion A. Vous devez créer de nouveaux groupes de répertoires associés pour les autres connexions à l'annuaire. Créer un groupe lié par répertoire Avant de commencer: Activez les groupes liés par répertoire. Pour plus d'informations, consultez Activation des groupes liés par répertoire dans le contenu relatif à la configuration. 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur 3. Saisissez le nom du groupe. 4. Dans la section Groupes liés par annuaire, procédez comme suit : a. . Cliquez sur . 197 Utilisateurs et groupes 5. 6. b. Saisissez tout ou partie du nom du groupe d'annuaires d'entreprise que vous souhaitez lier. c. Si vous disposez de plusieurs connexions au répertoire d'entreprise, sélectionnez la connexion que vous souhaitez rechercher. Lorsque c'est chose faite, le groupe lié par répertoire est définitivement associé à la connexion sélectionnée. d. Cliquez sur e. Sélectionnez le groupe d'annuaires d'entreprise dans la liste des résultats de la recherche. f. Cliquez sur Ajouter. Le groupe d'annuaires d'entreprise s'affiche dans la liste et la connexion à un annuaire d'entreprise auquel le groupe est lié s'affiche en regard du titre de la section. g. Si nécessaire, cochez la case Relier les groupes imbriqués. Vous pouvez décocher cette case pour relier tous les groupes imbriqués ou la cocher pour permettre aux paramètres de répertoire de contrôler le nombre de groupes imbriqués. h. Répétez ces étapes pour lier d'autres groupes. . Pour attribuer un rôle d'utilisateur à un groupe lié par répertoire, procédez comme suit : a. Dans la section Rôle d'utilisateur, cliquez sur b. Dans la liste déroulante, cliquez sur le nom du rôle d'utilisateur que vous souhaitez attribuer au groupe. c. Cliquez sur Ajouter. Pour attribuer une stratégie informatique ou un profil au groupe lié par annuaire, procédez comme suit : a. Dans la section IProfils et stratégies informatiques, cliquez sur b. Cliquez sur Stratégie informatique ou un type de profil. c. Dans la liste déroulante, cliquez sur le nom de la stratégie informatique que vous souhaitez attribuer au groupe. d. Cliquez sur Attribuer. . 7. Pour attribuer une application au groupe lié par annuaire, dans la section Applications attribuées, cliquez sur 8. Recherchez l'application. 9. Dans les résultats de la recherche, sélectionnez l'application. . 10. Cliquez sur Suivant. 11. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes : • Pour installer l'application automatiquement sur les terminaux et empêcher les utilisateurs de la supprimer, cliquez sur Requis. Cette option n'est pas disponible pour les applications BlackBerry. • Pour permettre aux utilisateurs d'installer et de supprimer l'application, sélectionnez Facultatif. 12. Pour les terminaux iOS : si vous souhaitez attribuer des paramètres VPN par application à une application ou un groupe d'applications, sélectionnez les paramètres à associer dans la liste déroulante VPN par application. 198 Utilisateurs et groupes 13. Cliquez sur Attribuer. 14. Cliquez sur Ajouter. Créer un groupe local 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur 3. Saisissez le nom du groupe d'utilisateurs. 4. Pour attribuer un rôle d'utilisateur au groupe local, procédez comme suit : 5. . a. Dans la section Rôle d'utilisateur, cliquez sur b. Dans la liste déroulante, cliquez sur le nom du rôle d'utilisateur que vous souhaitez attribuer au groupe. c. Cliquez sur Ajouter. . Pour attribuer une stratégie informatique ou un profil au groupe local, procédez comme suit : a. Dans la section Profils et stratégies informatiques, cliquez sur b. Cliquez sur Stratégie informatique ou un type de profil. c. Dans la liste déroulante, cliquez sur le nom de la stratégie informatique que vous souhaitez attribuer au groupe. d. Cliquez sur Attribuer. . 6. Pour attribuer une application au groupe d'utilisateurs, dans la section Applications attribuées, cliquez sur 7. Recherchez l'application. 8. Dans les résultats de la recherche, sélectionnez l'application. 9. Cliquez sur Suivant. . 10. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes : • Pour installer l'application automatiquement sur les terminaux et empêcher les utilisateurs de la supprimer, cliquez sur Requis. Cette option n'est pas disponible pour les applications BlackBerry. • Pour autoriser les utilisateurs à installer et à supprimer l'application, sélectionnez Facultatif. Remarque: si la même application est attribuée à un compte d'utilisateur et au groupe d'utilisateurs auquel appartient l'utilisateur, la disposition de l'application attribuée au compte d'utilisateur est prioritaire 11. Pour les terminaux iOS : si vous souhaitez attribuer des paramètres VPN par application à une application ou un groupe d'applications, sélectionnez les paramètres à associer dans la liste déroulante VPN par application. 12. Cliquez sur Attribuer. 13. Après avoir spécifié les propriétés du groupe d'utilisateurs, cliquez sur Ajouter. 199 Utilisateurs et groupes Afficher un groupe d'utilisateurs 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez un groupe d'utilisateurs. 3. Dans les résultats de la recherche, cliquez sur le nom du groupe d'utilisateurs. 4. Pour afficher les membres d'un groupe d'utilisateurs, procédez comme suit : 5. a. Cliquez sur Utilisateurs pour afficher les comptes d'utilisateur attribués. b. Cliquez sur Groupes imbriqués pour afficher les groupes imbriqués attribués. Cliquez sur Paramètres pour afficher les informations suivantes sur un groupe d'utilisateurs : • Groupes de répertoires associés (disponibles pour un groupe lié par annuaire) • Stratégie informatique attribuée, profils et applications Modifier le nom d'un groupe d'utilisateurs 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez le groupe d'utilisateurs que vous souhaitez afficher. 3. Cliquez sur le groupe d'utilisateurs. 4. Cliquez sur 5. Modifiez le nom d'un groupe d'utilisateurs. 6. Cliquez sur Enregistrer. . Supprimer un groupe d'utilisateurs Lorsque vous supprimez un groupe d'utilisateurs, les utilisateurs du groupe ne sont pas supprimés. Les propriétés du groupe attribuées à l'utilisateur sont supprimées ou modifiées. 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez le groupe d'utilisateurs que vous souhaitez supprimer. 3. Cliquez sur le groupe d'utilisateurs. 4. Cliquez sur 5. Cliquez sur Supprimer. . 200 Utilisateurs et groupes Ajouter un groupe d'annuaires d'entreprise à un groupe lié par annuaire existant 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur le groupe lié par annuaire. 3. Cliquez sur l'onglet Paramètres. 4. Cliquez sur 5. Dans la section Groupes liés par annuaire, cliquez sur 6. Saisissez le nom du groupe d'annuaires d'entreprise. 7. Cliquez sur Rechercher. 8. Sélectionnez le groupe d'annuaires d'entreprise dans la liste des résultats de la recherche. 9. Cliquez sur Ajouter. . . 10. Si nécessaire, sélectionnez Relier les groupes imbriqués. Ajouter des groupes imbriqués à un groupe d'utilisateurs Lorsque vous ajoutez un groupe imbriqué à un groupe d'utilisateurs, tous les groupes appartenant au groupe imbriqué sont également ajoutés. Avant de commencer: Créez des groupes d'utilisateurs. Vous pouvez créer des groupes de répertoires associés ou des groupes locaux. 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez un groupe d'utilisateurs. 3. Dans les résultats de la recherche, cliquez sur le nom du groupe d'utilisateurs. 4. Cliquez sur l'onglet Groupes imbriqués. 5. Cliquez sur 6. Sélectionnez un ou plusieurs groupes disponibles. 7. Cliquez sur Ajouter. . Supprimer les groupes imbriqués d'un groupe d'utilisateurs Vous pouvez supprimer les groupes imbriqués directement attribués à un groupe d'utilisateurs. 1. Sur la barre de menus, cliquez sur Groupes. 201 Utilisateurs et groupes 2. Recherchez un groupe d'utilisateurs. 3. Dans les résultats de la recherche, cliquez sur le nom du groupe d'utilisateurs. 4. Cliquez sur l'onglet Groupes imbriqués. 5. Cliquez sur en regard de chaque groupe imbriqué que vous souhaitez supprimer. Attribuer une stratégie informatique à un groupe d'utilisateurs Avant de commencer: Créez une stratégie informatique. 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez un groupe d'utilisateurs. 3. Dans les résultats de la recherche, cliquez sur le nom du groupe d'utilisateurs. 4. Cliquez sur l'onglet Paramètres. 5. Dans la section Stratégie informatique et profils, cliquez sur 6. Cliquez sur Stratégie informatique. 7. Dans la liste déroulante, cliquez sur le nom de la stratégie informatique que vous souhaitez attribuer au groupe. 8. Si une stratégie informatique est déjà attribuée au groupe, cliquez sur Remplacer. Sinon, cliquez sur Attribuer. . Informations connexes Créer une stratégie informatique, à la page 154 Comment BES12 choisit la stratégie informatique à attribuer, à la page 153 Attribuer un profil à un groupe d'utilisateurs Avant de commencer: créez des profils. 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez un groupe d'utilisateurs. 3. Dans les résultats de la recherche, cliquez sur le nom du groupe d'utilisateurs. 4. Cliquez sur l'onglet Paramètres. 5. Dans la section Stratégie informatique et profils, cliquez sur 6. Cliquez sur un type de profil. 7. Dans la liste déroulante, cliquez sur le nom du profil que vous souhaitez attribuer au groupe. 8. Pour les types de profils classés, si le type de profil que vous avez sélectionné à l'étape 6 est déjà directement attribué au groupe, cliquez sur Remplacer. Sinon, cliquez sur Attribuer. 202 . Utilisateurs et groupes Informations connexes Attribution de profils, à la page 48 Comment BES12 choisit les profils à attribuer, à la page 50 Attribuer une application à un groupe d'utilisateurs Lorsque vous attribuez des applications à un groupe d'utilisateurs, ces applications sont mises à la disposition de tous les terminaux concernés que les membres du groupe d'utilisateurs ont activés. Vous pouvez également attribuer des applications à des groupes d'utilisateurs pour des types de terminaux que les membres du groupe d'utilisateurs n'ont pas encore activés. Ainsi, si un membre du groupe active ultérieurement un type de terminal différent, les applications qui conviennent seront mises à la disposition du nouveau terminal. Si un compte d'utilisateur est membre de plusieurs groupes d'utilisateurs présentant les mêmes applications ou groupes d'applications, seule une instance de l'application ou du groupe d'applications apparait dans la liste des applications attribuées à ce compte d'utilisateur. Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en fonction de la priorité. Les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes d'utilisateur, puis des groupes d'utilisateurs. Avant de commencer: • Ajoutez l'application à la liste des applications disponibles. • Vous pouvez également ajouter des applications à un groupe d'applications. • Les utilisateurs doivent configurer Secure Work Space leurs terminaux avant de pouvoir installer les applications sécurisées attribuées. 1. Sur la barre de menus, cliquez sur Groupes. 2. Dans l'onglet Groupes d'utilisateurs, cliquez sur le nom d'un groupe. 3. Dans l'onglet Paramètres, dans la section Applications attribuées, cliquez sur 4. Dans le champ de recherche, saisissez le nom, le fournisseur ou l'URL de l'application que vous souhaitez ajouter. 5. Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au groupe d'utilisateurs. 6. Cliquez sur Suivant. 7. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes : . • Pour demander aux utilisateurs d'installer l'application, sélectionnez Requis. • Pour autoriser des utilisateurs à installer ou supprimer l'application, sélectionnez Facultatif. Remarque: si la même application est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel appartient l'utilisateur et au groupe de terminaux auquel appartient le terminal, la disposition de l'application attribuée au groupe de terminaux est prioritaire. 203 Utilisateurs et groupes 8. Pour les terminaux iOS, pour attribuer des paramètres VPN par application à une application ou à un groupe d'applications, dans la liste déroulante VPN par application de l'application ou du groupe d'applications, sélectionnez les paramètres à lui associer. 9. Pour les terminaux iOS et Android, si une configuration d'application est disponible, sélectionnez-la pour l'attribuer à l'application. 10. Effectuez l'une des tâches suivantes : Tâche Étapes Si vous n'avez pas ajouté de compte VPP ou n'ajoutez pas d'application iOS 1. Si vous ajoutez une application iOS et avez ajouté au moins 1. un compte VPP 2. Cliquez sur Attribuer. Cliquez sur Suivant. Sélectionnez Oui si vous souhaitez attribuer une licence à l'application iOS. Sélectionnez Non si vous ne souhaitez pas attribuer une licence à l'application ou n'avez pas de licence à lui attribuer. 3. Si vous avez attribué une licence à l'application, dans la liste déroulante Licence d'application, sélectionnez le compte VPP à associer à l'application. 4. Dans la liste déroulante Attribuer une licence à, attribuez la licence à l'utilisateur ou au terminal. Si aucune valeur n'est spécifiée dans la liste déroulante Licence d'application, la liste déroulante Attribuer une licence à n'est pas disponible. 5. Cliquez sur Attribuer. Les utilisateurs doivent suivre les instructions qui s'affichent pour inscrire le compte VPP de leur entreprise avant de pouvoir installer des applications prépayées. Les utilisateurs doivent effectuer cette tâche une seule fois. Remarque: si vous autorisez l'accès à plusieurs licences dont vous disposez, les premiers utilisateurs à accéder aux licences disponibles peuvent installer l'application. Si l'application est une application requise ne disposant pas de licence disponible, vous devez obtenir la licence avant que l'utilisateur ne puisse installer l'application et ne soit soumis à toutes les règles de conformité que vous avez attribuées aux utilisateurs. 204 Utilisateurs et groupes Attribuer un groupe d'applications à un groupe d'utilisateurs Lorsque vous attribuez un groupe d'applications à un groupe d'utilisateurs, les applications de ce groupe sont mises à la disposition des terminaux activés par les membres du groupe d'utilisateurs. Vous pouvez également attribuer des applications à des groupes d'utilisateurs pour des types de terminaux que les membres du groupe d'utilisateurs n'ont pas encore activés. Ainsi, si un membre du groupe active ultérieurement un type de terminal différent, les applications qui conviennent seront mises à la disposition du nouveau terminal. Si un compte d'utilisateur est membre de plusieurs groupes d'utilisateurs présentant les mêmes applications ou groupes d'applications, seule une instance du groupe d'applications apparait dans la liste des applications attribuées à ce compte d'utilisateur. Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en fonction de la priorité : les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes d'utilisateur, puis des groupes d'utilisateurs. Avant de commencer: • Ajoutez des applications à un groupe d'applications. • Les utilisateurs doivent configurer Secure Work Space leurs terminaux avant de pouvoir installer les applications sécurisées attribuées. 1. Sur la barre de menus, cliquez sur Groupes. 2. Dans l'onglet Groupes d'utilisateurs, cliquez sur le nom d'un groupe. 3. Dans l'onglet Paramètres, dans la section Applications attribuées, cliquez sur 4. Dans le champ de recherche, saisissez le nom, le fournisseur ou l'URL de l'application que vous souhaitez ajouter. 5. Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au groupe d'utilisateurs. 6. Cliquez sur Suivant. 7. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes : . • Pour demander aux utilisateurs d'installer l'application, sélectionnez Requis. • Pour autoriser des utilisateurs à installer ou supprimer l'application, sélectionnez Facultatif. Remarque: Si la même application est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel appartient l'utilisateur et au groupe de terminaux auquel appartient le terminal, la disposition de l'application attribuée au groupe de terminaux est prioritaire. 8. Pour les terminaux iOS, pour attribuer des paramètres VPN par application à une application ou à un groupe d'applications, dans la liste déroulante VPN par application de l'application ou du groupe d'applications, sélectionnez les paramètres à lui associer. 9. Effectuez l'une des tâches suivantes : 205 Utilisateurs et groupes Tâche Étapes Si vous n'avez pas ajouté de compte VPP ou n'ajoutez pas d'application iOS 1. Si vous ajoutez une application iOS et avez ajouté au moins 1. un compte VPP 2. Cliquez sur Attribuer. Cliquez sur Suivant. Sélectionnez Oui si vous souhaitez attribuer une licence à l'application iOS. Sélectionnez Non si vous ne souhaitez pas attribuer une licence à l'application ou n'avez pas de licence à lui attribuer. 3. Si vous avez attribué une licence à l'application, dans la liste déroulante Licence d'application, sélectionnez le compte VPP à associer à l'application. 4. Dans la liste déroulante Attribuer une licence à, attribuez la licence à l'utilisateur ou au terminal. Si aucune valeur n'est spécifiée dans la liste déroulante Licence d'application, la liste déroulante Attribuer une licence à n'est pas disponible. 5. Cliquez sur Attribuer. Les utilisateurs doivent suivre les instructions qui s'affichent pour inscrire le compte VPP de leur entreprise avant de pouvoir installer des applications prépayées. Les utilisateurs doivent effectuer cette tâche une seule fois. Remarque: si vous autorisez l'accès à plusieurs licences dont vous disposez, les premiers utilisateurs à accéder aux licences disponibles peuvent installer l'application. Si l'application est une application requise ne disposant pas de licence disponible, vous devez obtenir la licence avant que l'utilisateur ne puisse installer l'application et ne soit soumis à toutes les règles de conformité que vous avez attribuées aux utilisateurs. Création de groupes de terminaux Un groupe de terminaux regroupe des terminaux dotés d'attributs communs, comme le modèle et le fabricant du terminal, le type et la version du système d'exploitation, le fournisseur de services et l'appartenance du terminal (entreprise ou utilisateurs). BES12 déplace automatiquement les terminaux à l'intérieur ou à l'extérieur des groupes de terminaux selon les attributs que vous définissez. 206 Utilisateurs et groupes Vous pouvez utiliser les groupes de terminaux pour appliquer différents ensembles de stratégies, profils et applications aux terminaux attribués à un seul utilisateur. Par exemple, vous pouvez utiliser un groupe de terminaux pour appliquer une stratégie informatique spécifique à tous les terminaux exécutant BlackBerry 10 OS ou tous les terminaux HTC EVO exécutant Android OS 4.0 ou version ultérieure sur le réseau T-Mobile. Les stratégies, profils et applications attribués à un groupe de terminaux sont prioritaires sur ceux attribués à un utilisateur ou à un groupe d'utilisateurs. Vous ne pouvez cependant pas attribuer de profils d'activation ou certificats d'utilisateur aux groupes de terminaux. Créer un groupe de terminaux 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur l'onglet Groupes de terminaux. 3. Cliquez sur 4. Saisissez le nom du groupe de terminaux. 5. Dans la section Étendre à des groupes d'utilisateurs, vous pouvez sélectionner un ou plusieurs groupes d'utilisateurs à appliquer au groupe de terminaux. Si vous ne sélectionnez aucun groupe d'utilisateurs, le groupe de terminaux s'applique à tous les terminaux activés. 6. Dans la première liste déroulante de la section Demande sur les terminaux, sélectionnez Un ou Tous. . Si vous sélectionnez Tous, les terminaux doivent satisfaire à tous les attributs que vous définissez pour rejoindre le groupe de terminaux. Si vous sélectionnez Un, les terminaux doivent satisfaire à un des attributs que vous définissez pour rejoindre le groupe de terminaux. 7. Dans la section Demande sur les terminaux, procédez comme suit : • Dans la liste déroulante Attribut, cliquez sur un attribut. • Dans la liste déroulante Opérateur, cliquez sur un opérateur. • Dans la liste déroulante Valeur, cliquez sur une valeur ou saisissez une valeur. Vous pouvez ajouter ou supprimer des lignes mieux définir votre demande. 8. Cliquez sur Suivant. 9. Pour attribuer une stratégie informatique ou un profil au groupe de terminaux, procédez comme suit : a. Dans la section Profils et stratégies informatiques, cliquez sur b. Cliquez sur Stratégie informatique ou un type de profil. c. Dans la liste déroulante, cliquez sur le nom de la stratégie informatique que vous souhaitez attribuer au groupe. d. Cliquez sur Attribuer. . 10. Pour attribuer une application au groupe de terminaux, dans la section Applications attribuées, cliquez sur 207 . Utilisateurs et groupes 11. Recherchez l'application. 12. Dans les résultats de la recherche, sélectionnez l'application. 13. Cliquez sur Suivant. 14. Dans la liste déroulante Disposition de l'application ou du groupe d'applications, exécutez l'une des opérations suivantes : • S'il s'agit d'une application iOS ou Android : pour demander aux utilisateurs de suivre les actions définies pour les applications du profil de conformité correspondant, sélectionnez Requis. • S'il s'agit d'une applicationWindows Phone :Pour installer automatiquement une application interne sur des terminaux attribués, sélectionnezRequis. Si les utilisateurs désinstallent l'application interne requise, ils doivent suivre les actions définies dans le profil de conformité correspondant.Pour les applications ajoutées depuisWindows Store, sélectionnezRequispour demander aux utilisateurs de suivre les actions définies pour les applications dans le profil de conformité correspondant. Cela s'applique uniquement aux terminaux exécutantWindows Phone 8.1 ou version ultérieure. • S'il s'agit d'une applicationBlackBerry 10interne : pour installer automatiquement l'application interne sur les terminaux attribués, sélectionnezRequis. Cette option est uniquement disponible pour applicationsBlackBerry 10internes. Les applications ajoutées depuis la boutiqueBlackBerry Worldpeuvent uniquement être facultatives. • Si le groupe d'applications est activé pour Android for Work, la disposition ne peut être définie que comme requis. • Pour autoriser les utilisateurs à installer et à supprimer l'application, sélectionnez Facultatif. Remarque: La même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en fonction de la priorité : les groupes de terminaux sont prioritaires sur les comptes d'utilisateur et les groupes d'utilisateurs. 15. Pour les terminaux iOS : si vous souhaitez attribuer des paramètres VPN par application à une application ou un groupe d'applications, sélectionnez les paramètres à associer dans la liste déroulante VPN par application. 16. Pour les iOS terminaux et Android, si une configuration d'application est disponible, sélectionnez cette configuration d'application pour l'attribuer à l'application. 17. Cliquez sur Attribuer. 18. Après avoir spécifié les propriétés du groupe de terminaux, cliquez sur Ajouter. Modifier un groupe de terminaux 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur l'onglet Groupes de terminaux. 3. Cliquez sur le nom d'un groupe de terminaux que vous souhaitez modifier. 208 Utilisateurs et groupes 4. Cliquez sur . 5. Procédez aux modifications nécessaires. 6. Cliquez sur Enregistrer. Définition des paramètres des groupes de terminaux Lorsque vous créez un groupe de terminaux, vous configurez une demande de terminaux incluant une ou plusieurs instructions d'attribut. Vous pouvez spécifier si un terminal appartient au groupe de terminaux, s'il correspond à une instruction d'attribut ou s'il correspond à toutes les instructions d'attribut. Chaque instruction d'attribut contient un attribut, un opérateur et une valeur. Attribut Opérateurs Valeurs Opérateur • = • != Champ de texte. Saisissez le nom d'un fournisseur de services, comme T-Mobile ou Bell. • Commence par • = • != • Commence par • = • != • Commence par • = • != • = • != • >= • <= • = • != Fabricant Modèle Système d'exploitation Version OS Propriété Champ de texte. Saisissez le nom d'un fabricant de terminaux, comme Apple ou BlackBerry. Champ de texte. Saisissez le nom d'un modèle de terminal, comme iPhone 5S ou BlackBerry Classic. Liste déroulante. Choisissez Android, BlackBerry 10, iOS ou Windows. Champ de texte. Saisissez une version OS, comme 7.1.1 ou 10.3. Si vous utilisez cet attribut, vous devez également spécifier l'attribut du système d'exploitation. Liste déroulante. Choisissez Work, Personal ou Non spécifié. 209 Utilisateurs et groupes Attribut Opérateurs Valeurs Type d'activation • = • != Liste déroulante. Choisissez un type d'activation dans la liste. La liste contient les mêmes types d'activation que ceux disponibles pour l'affectation dans vos profils d'activation. • = • != • Commence par KNOX Workspace Champ de texte. Saisissez une version Samsung KNOX Workspace, telle que 2.2. Afficher un groupe de terminaux 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur l'onglet Groupes de terminaux. 3. Recherchez le groupe de terminaux que vous souhaitez afficher. 4. Cliquez sur le groupe de terminaux. 5. Effectuez l'une des opérations suivantes : • Pour afficher les terminaux attribués au groupe de terminaux, cliquez sur l'onglet Terminaux. • Pour afficher les groupes d'utilisateurs, les demandes sur les terminaux, les stratégies informatiques, les profils ou les applications attribués au groupe de terminaux, sélectionnez l'onglet Paramètres. Modifier le nom d'un groupe de terminaux 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur l'onglet Groupes de terminaux. 3. Recherchez le groupe de terminaux que vous souhaitez afficher. 4. Cliquez sur le groupe de terminaux. 5. Cliquez sur 6. Modifiez le nom du groupe de terminaux 7. Cliquez sur Suivant. 8. Cliquez sur Enregistrer. . 210 Utilisateurs et groupes Supprimer un groupe de terminaux Pour pouvoir supprimer un groupe de terminaux, vous devez être autorisé à gérer tous les groupes d'utilisateurs auxquels ce groupe de terminaux a été appliqué. 1. Sur la barre de menus, cliquez sur Groupes. 2. Cliquez sur l'onglet Groupes de terminaux. 3. Recherchez le groupe de terminaux que vous souhaitez afficher. 4. Cliquez sur le groupe de terminaux. 5. Cliquez sur 6. Cliquez sur Supprimer. . Création et gestion de comptes d'utilisateur Vous pouvez directement ajouter des comptes d'utilisateur àBES12ou, si vous vous êtes connectéBES12à votre annuaire d'entreprise, ajouter des comptes d'utilisateur depuis celui-ci. Pour obtenir des informations sur la connexion deBES12à un répertoire d'entreprise et sur l'activation de groupes liés par répertoire,reportez-vous au contenu relatif à la configuration. Vous pouvez également utiliser un fichier .csv pour ajouter simultanément plusieurs comptes d'utilisateur à BES12. Créer un compte d'utilisateur Avant de commencer: • si vous souhaitez ajouter un utilisateur d'annuaire, vérifiez que BES12 est connecté à votre annuaire d'entreprise. Pour obtenir des informations sur la connexion de BES12 à un répertoire d'entreprise et sur l'activation de groupes liés par répertoire, reportez-vous au contenu relatif à la configuration. • Si vous souhaitez activer le service WatchDox by BlackBerry pour vos utilisateurs, vérifiez que le plug-in WatchDox pour BES12 est installé sur chaque instance de BES12 dans votre environnement. Pour plus d'informations sur l'installation du service WatchDox, contactez votre gestionnaire de compte WatchDox. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Cliquez sur Ajouter un utilisateur. 3. Effectuez l'une des tâches suivantes : 211 Utilisateurs et groupes Tâche Étapes Ajouter un utilisateur d'annuaire 1. Dans le champ de recherche de l'onglet Répertoire d'entreprise, spécifiez les critères de recherche de l'utilisateur d'annuaire que vous souhaitez ajouter. Vous pouvez effectuer une recherche par nom, prénom, nom d'affichage, nom d'utilisateur ou adresse électronique. 2. Cliquez sur 3. Dans les résultats de la recherche, sélectionnez le compte d'utilisateur. 1. Cliquez sur l'onglet Local. 2. Dans le champ Prénom, saisissez un prénom pour le compte d'utilisateur. 3. Dans le champ Nom, saisissez un nom pour le compte d'utilisateur. 4. Dans le champ Nom d'affichage, apportez des modifications, si nécessaire. Le nom d'affichage est automatiquement configuré avec le prénom et le nom que vous avez spécifiés. 5. Dans le champ Nom d'utilisateur, saisissez un nom d'utilisateur unique pour le compte d'utilisateur. 6. Dans le champ Adresse électronique, saisissez une adresse électronique pour le compte d'utilisateur. Une adresse électronique est obligatoire pour le compte d'utilisateur, lorsque vous activez un service comme la gestion de terminal ou WatchDox. Ajouter un utilisateur local 4. . En présence de groupes locaux dans BES12 et si vous souhaitez ajouter le compte d'utilisateur aux groupes, dans la liste Groupes disponibles, sélectionnez un ou plusieurs groupes et cliquez sur . Lorsque vous créez un compte d'utilisateur, vous pouvez uniquement l'ajouter aux groupes locaux de BES12. Si le compte d'utilisateur est membre d'un groupe lié par annuaire, il est automatiquement associé à ce groupe lors de la synchronisation entre BES12 et votre annuaire d'entreprise. Pour ajouter un compte d'utilisateur à des groupes auxquels a été attribué un rôle administratif, vous devez être Administrateur de sécurité. 5. Si vous ajoutez un utilisateur local, dans le champ Mot de passe de console, saisissez un mot de passe pour BES12 SelfService. Si un rôle administratif est attribué à l'utilisateur, il peut également utiliser le mot de passe pour accéder à la console de gestion. 6. Dans la section Services activés, sélectionnez l'option Autoriser l'utilisateur à gérer les terminaux. 7. Si le plug-in WatchDox pour BES12 est installé dans le domaine, procédez comme suit pour activer le service WatchDox : a. Dans la section WatchDox by BlackBerry, cochez la case Activer WatchDox. Par défaut, les utilisateurs activés avec le service WatchDox reçoivent le rôle de Visiteur. b. Sélectionnez un ou plusieurs rôles de l'utilisateur. Cliquez sur 212 . Utilisateurs et groupes 8. Effectuez l'une des tâches suivantes : Tâche Étapes Générer automatiquement un mot de passe d'activation pour l'utilisateur et envoyer un e-mail d'activation 1. Sélectionnez l'option Générer automatiquement le mot de passe d'activation du terminal et envoyer un e-mail contenant des instructions d'activation. 2. Dans le champ Expiration de la période d'activation, spécifiez le nombre de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal avant que son mot de passe d'activation expire. 3. Dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à utiliser pour l'e-mail d'activation. 1. Sélectionnez l'option Définir le mot de passe d'activation du terminal. 2. Saisissez un mot de passe d'activation. 3. Dans le champ Expiration de la période d'activation, spécifiez le nombre de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal avant que son mot de passe d'activation expire. 4. Effectuez l'une des opérations suivantes : Définir un mot de passe d'activation pour l'utilisateur et, éventuellement, envoyer un e-mail d'activation Ne pas définir de mot de passe d'activation pour l'utilisateur 9. 1. a Pour envoyer des instructions d'activation à l'utilisateur, dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à utiliser pour l'e-mail d'activation. b Si vous ne souhaitez pas envoyer les instructions d'activation à l'utilisateur, décochez la case à cocher Envoyer un e-mail contenant le mot de passe d'activation et les instructions. Vous devez communiquer le mot de passe d'activation à l'utilisateur. Sélectionnez l'option Ne pas définir de mot de passe d'activation du terminal. Vous pouvez définir un mot de passe d'activation et envoyer un e-mail d'activation ultérieurement. Si vous utilisez des variables personnalisées, développez Variables personnalisées et spécifiez les valeurs appropriées pour les variables que vous avez définies. 10. Effectuez l'une des opérations suivantes : • Pour enregistrer le compte d'utilisateur, cliquez sur Enregistrer. • Pour enregistrer le compte d'utilisateur et créer un autre compte d'utilisateur, cliquez sur Enregistrer et ajouter nouveau. Informations connexes Variables personnalisées, à la page 58 213 Utilisateurs et groupes Création de comptes d'utilisateur à partir d'un fichier .csv Vous pouvez manuellement créer le fichier .csv à l'aide du modèle de fichier .csv BES12, disponible au téléchargement dans l'onglet Importer de la fenêtre Ajouter un utilisateur. À propos du fichier .csv de comptes d'utilisateur Vous pouvez importer les comptes d'utilisateur d'un fichier .csv vers BES12 pour créer simultanément plusieurs comptes d'utilisateur. Selon vos besoins, vous pouvez également spécifier l'appartenance à un groupe et les paramètres d'activation des comptes d'utilisateur en incluant les colonnes suivantes dans le fichier .csv : En-tête de colonne Description Appartenance à un groupe Attribuez un ou plusieurs groupes d'utilisateurs à chaque compte d'utilisateur. Utilisez un point-virgule (;) pour séparer plusieurs groupes d'utilisateurs. Si vous n'incluez pas la colonne « Appartenance à un groupe », lorsque vous importez le fichier, vous avez la possibilité de sélectionner le groupe auquel vous souhaitez ajouter tous les comptes d'utilisateur importés. Si vous souhaitez attribuer chaque compte d'utilisateur à un groupe d'utilisateurs spécifique, vous pouvez utiliser cette colonne avant d'importer le fichier. Mot de passe d'activation Saisissez le mot de passe d'activation. Cette valeur est obligatoire si le paramètre Génération du mot de passe d'activation est défini sur Manuelle. Modèle d'activation Entrez le nom du modèle d'e-mail d'activation que vous souhaitez envoyer à l'utilisateur. Si vous n'indiquez pas de nom, le modèle d'activation par e-mail par défaut est utilisé. Expiration du mot de passe d'activation Saisissez, en secondes, la durée de validité du mot de passe d'activation arrivée à expiration. Génération du mot de passe d'activation Saisissiez un des éléments suivants : • Auto Le mot de passe d'activation est automatiquement créé et envoyé à l'utilisateur. • Manuelle Le mot de passe d'activation est défini dans la colonne « Mot de passe d'activation ». Si la valeur est vierge, la valeur par défaut est Auto. Envoyer un e-mail d'activation Saisissiez un des éléments suivants : 214 Utilisateurs et groupes En-tête de colonne Description • Vrai. L'e-mail d'activation est envoyé à l'utilisateur. • Faux. L'e-mail d'activation n'est pas envoyé à l'utilisateur. Si le paramètre Génération du mot de passe d'activation est défini sur Auto, l'e-mail d'activation est envoyé à l'utilisateur quelle que soit la valeur de cette colonne. Si le paramètre Génération du mot de passe d'activation est défini sur Manuelle et que cette valeur est vide, la valeur par défaut est Vrai. Type d'utilisateur UID de l'annuaire Cette colonne est nécessaire chaque fois que le fichier .csv comprend des comptes locaux et des comptes d'utilisateur associés à l'annuaire. Saisissiez un des éléments suivants : • L pour comptes d'utilisateur locaux • D pour comptes d'utilisateur associés à l'annuaire (Facultatif) Alternative à la saisie d'une adresse électronique pour les comptes d'utilisateur associés à l'annuaire. Par défaut, l'adresse électronique est utilisée pour valider les comptes d'utilisateur associés à l'annuaire, mais vous pouvez indiquer que l'UID de l'annuaire sera utilisé. Si le compte d'utilisateur ne peut pas être validé par l'UID de l'annuaire, une erreur est signalée. Voici un exemple de fichier .csv : Username, First name, Last name, Display name, Contact email, Group membership, Activation password, Activation template, Activation Password Expiration, Activation Password Generation, Send activation email, User Type JJones1, Justin1, Jones, Justin1 Jones, [email protected], Sales, password, Windows 10 Template, 172800, manual, true, d JJones2, Justin2, Jones, Justin2 Jones, [email protected], Sales;Pre Sales, , , auto, true, l JJones3, Justin3, Jones, Justin3 Jones, [email protected], Sales;Pre Sales, password, 172800, manual, true, d JJones4, Justin4, Jones, Justin4 Jones, [email protected], Sales, password, 172800, manual, true, d Comment BES12 valide le fichier .csv des comptes d'utilisateur BES12 valide le fichier .csv des comptes d'utilisateur avant, pendant et immédiatement après le chargement fichier .csv et signale toutes les erreurs rencontrées. Voici quelques-unes des erreurs qui empêchent BES12 de charger le fichier .csv : • Format de fichier ou extension de fichier non valide • Fichier vide 215 Utilisateurs et groupes • Le nombre de colonnes ne correspond pas au nombre d'en-têtes dans le fichier Lorsque BES12 rencontre une erreur, il arrête de charger le fichier et affiche un message d'erreur. Vous devez corriger cette erreur et recharger le fichier .csv. Une fois le fichier .csv chargé, BES12 affiche la liste des comptes d'utilisateur qui seront importés et, le cas échéant, les comptes d'utilisateur associés à l'annuaire qui ne seront pas importés suite à une erreur (entrée dupliquée ou adresse électronique incorrecte). Vous pouvez effectuer l'une des actions suivantes : • Annuler l'opération, corriger les erreurs, puis recharger le fichier .csv. • Continuer et charger les comptes d'utilisateur valides. Les comptes d'utilisateur associés à l'annuaire comportant des erreurs ne sont pas chargés. Vous devez copier et corriger les comptes d'utilisateur associés à l'annuaire qui n'ont pas été chargés dans un fichier .csv distinct. En effet, le rechargement du même fichier .csv créera des erreurs de duplication au niveau des comptes d'utilisateur correctement chargés précédemment. BES12 effectue une validation finale des comptes d'utilisateur importés juste avant de créer les comptes d'utilisateur afin de vérifier qu'aucune erreur n'est survenue lors de l'importation du fichier (autre utilisateur créant un compte d'utilisateur sous forme de fichier .csv contenant le même compte d'utilisateur que celui importé, par exemple). Ajouter des comptes d'utilisateur à l'aide d'un fichier .csv Avant de commencer: • Si le fichier .csv contient des comptes d'utilisateur associés à l'annuaire, vérifiez que BES12 est connecté à votre annuaire d'entreprise. • Vérifiez que le nombre de colonnes correspond au nombre d'en-têtes du fichier .csv. • Vérifiez que les colonnes obligatoires sont incluses. • Vérifiez que les informations des colonnes sont correctes. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Dans le volet de gauche, cliquez sur Ajouter un utilisateur. 3. Cliquez sur l'onglet Importer. 4. Cliquez sur Parcourir et accédez au fichier .csv contenant les comptes d'utilisateur que vous souhaitez ajouter. 5. Cliquez sur Charger. 6. Si des erreurs ont été signalées, procédez comme suit : 7. a. Corrigez les erreurs dans le fichier .csv. b. Cliquez sur Parcourir et accédez au fichier .csv. c. Cliquez sur Charger. d. Répétez l'étape 6 jusqu'à ce que toutes les erreurs soient corrigées. Si le fichier .csv n'utilise pas la colonne « Appartenance à un groupe » et que des groupes locaux sont présents dans BES12, procédez comme suit pour ajouter des comptes d'utilisateur aux groupes : 216 Utilisateurs et groupes a. Dans la liste Groupes disponibles, sélectionnez un ou plusieurs groupes, puis cliquez sur . b. Cliquez sur Suivant. Lorsque vous importez le fichier .csv, tous les comptes d'utilisateur sont ajoutés aux groupes locaux que vous sélectionnez. Si le compte d'utilisateur est membre d'un groupe lié par annuaire, il est automatiquement associé à ce groupe lors de la synchronisation entre BES12 et votre annuaire d'entreprise. Pour ajouter des comptes d'utilisateur à des groupes auxquels a été attribué un rôle administratif, vous devez être Administrateur de sécurité. 8. Examinez la liste des comptes d'utilisateur et effectuez l'une des opérations suivantes : • Pour corriger les erreurs liées aux comptes d'utilisateur associés à l'annuaire non valides, cliquez sur Annuler et passez à l'étape 6. • Pour ajouter les comptes d'utilisateur valides, cliquez sur Importer. Les comptes d'utilisateur associés à l'annuaire non valides sont ignorés. Afficher un compte d'utilisateur Vous pouvez afficher des informations sur un compte d'utilisateur dans l'onglet Synthèse. Par exemple, vous pouvez consulter les informations suivantes : • Terminaux activés • Groupes d'utilisateurs auxquels appartient un compte d'utilisateur • Stratégie informatique attribuée, profils et applications 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. Gestion simultanée de plusieurs comptes utilisateur Vous pouvez effectuer certaines actions pour plusieurs utilisateurs à la fois. Par exemple, vous pouvez envoyer un e-mail au groupe d'utilisateurs de votre choix. Avant de commencer: Configuration de la vue par défaut ou avancée. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Si nécessaire, Filtrage de la liste d'utilisateurs. 3. Effectuez l'une des opérations suivantes : • Cochez la case en haut de la liste d'utilisateurs pour sélectionner tous les utilisateurs. 217 Utilisateurs et groupes • 4. Cochez la case pour chaque utilisateur que vous souhaitez inclure. Dans le menu, cliquez sur l'une des icônes suivantes : Icône Description Localiser un terminal Envoyer un e-mail aux utilisateurs Envoyer un e-mail d'activation à plusieurs utilisateurs Ajouter des utilisateurs à des groupes d'utilisateurs Supprimer Secure Work Space des terminaux Exportation d'une liste d'utilisateurs vers un fichier .csv Envoyer un e-mail aux utilisateurs Vous pouvez envoyer un e-mail à un ou plusieurs utilisateurs directement depuis la console de gestion. Les utilisateurs doivent posséder une adresse électronique associée à leur compte. Avant de commencer: pour envoyer un e-mail à plusieurs utilisateurs, vous devez disposer d'un rôle administratif possédant l'autorisation Envoyer un e-mail aux utilisateurs. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Effectuez l'une des tâches suivantes : Tâche Étapes Envoyer un e-mail à un utilisateur 1. Recherchez un compte d'utilisateur. 2. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 3. Cliquez sur 4. Vous pouvez également cliquer sur CC et saisir une ou plusieurs adresses électroniques (séparées par des virgules ou des points-virgules) pour mettre en copie l'e-mail à vous-même ou à d'autres personnes. 1. Cochez la case pour chaque utilisateur auquel vous souhaitez envoyer un e-mail. Envoyer des e-mails à plusieurs utilisateurs . 218 Utilisateurs et groupes Tâche Étapes 3. Saisissez un objet et un message. 4. Cliquez sur Envoyer. 2. Cliquez sur 3. Vous pouvez également cliquer sur À ou CC et saisir une ou plusieurs adresses électroniques (séparées par des virgules ou des points-virgules) pour envoyer ou mettre en copie l'e-mail à vous-même ou à d'autres personnes. . Modifier les informations de compte d'utilisateur Vous pouvez modifier les informations utilisateur suivantes : • Nom, nom d'utilisateur, nom d'affichage et adresse électronique • Appartenance aux groupes (L'appartenance aux groupes liés par répertoire ne peut pas être modifiée.) • Mot de passe de console pour les comptes utilisateur locaux • Rôle d'utilisateur • Si vous avez défini des variables personnalisées, vous pouvez modifier les informations de ces variables. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Cliquez sur 5. Modifiez les informations du compte d'utilisateur. 6. Cliquez sur Enregistrer. . Synchroniser des informations pour un utilisateur d'annuaire Si vous avez ajouté un compte d'utilisateur à partir de votre annuaire d'entreprise, vous pouvez synchroniser manuellement les informations de cet utilisateur avec votre annuaire d'entreprise, sans attendre la synchronisation automatique. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 219 Utilisateurs et groupes 4. Cliquez sur . Supprimer un compte d'utilisateur Lorsque vous supprimez un compte d'utilisateur, les données professionnelles sont également supprimées de tous les terminaux de l'utilisateur. Avant de commencer: • Désactivez tous les terminaux associés au compte d'utilisateur que vous souhaitez supprimer. • Supprimez tous les services associés au compte d'utilisateur que vous souhaitez supprimer. . 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, sélectionnez le nom d'un compte d'utilisateur. 4. Cliquez sur 5. Cliquez sur Supprimer. . Ajouter des utilisateurs à des groupes d'utilisateurs Remarque: pour ajouter un utilisateur auquel a été attribué un rôle administratif à un groupe d'utilisateurs, vous devez être Administrateur de sécurité. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Cochez la case en regard des utilisateurs que vous souhaitez ajouter aux groupes d'utilisateurs. 3. Cliquez sur 4. Dans la liste Groupes disponibles, sélectionnez un ou plusieurs groupes, puis cliquez sur . . Remarque: l'appartenance aux groupes de répertoires associés ne peut pas être modifiée. 5. Cliquez sur Enregistrer. Modifier les groupes auxquels appartient un utilisateur Remarque: pour modifier les groupes d'utilisateurs auquel appartient un utilisateur doté d'un rôle administratif, vous devez être Administrateur de sécurité. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 220 Utilisateurs et groupes 4. Dans la section Appartenance à un groupe, cliquez sur 5. Effectuez l'une des actions suivantes : . • Pour ajouter l'utilisateur aux groupes d'utilisateurs, dans la liste Groupes disponibles, sélectionnez un ou plusieurs groupes et cliquez sur . • Pour supprimer l'utilisateur des groupes d'utilisateurs, dans la liste Membre de groupes, sélectionnez un ou plusieurs groupes et cliquez sur . Remarque: l'appartenance aux groupes de répertoires associés ne peut pas être modifiée. 6. Cliquez sur Enregistrer. Supprimer un utilisateur d'un groupe d'utilisateurs Vous ne pouvez pas supprimer un utilisateur d'un groupe lié par annuaire. Remarque: pour supprimer un utilisateur doté d'un rôle administratif d'un groupe d'utilisateurs, vous devez être Administrateur de sécurité. 1. Sur la barre de menus, cliquez sur Groupes. 2. Recherchez le groupe d'utilisateurs que vous souhaitez modifier. 3. Cliquez sur le groupe d'utilisateurs. 4. Recherchez l'utilisateur que vous souhaitez supprimer. 5. Sélectionnez l'utilisateur. 6. Cliquez sur . Attribuer une stratégie informatique à un compte d'utilisateur Avant de commencer: Créez une stratégie informatique. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Dans la section Stratégie informatique et profils, cliquez sur 5. Cliquez sur Stratégie informatique. 6. Dans la liste déroulante, cliquez sur le nom de la stratégie informatique que vous souhaitez attribuer à l'utilisateur. 7. Si une stratégie informatique est déjà attribuée à l'utilisateur, cliquez sur Remplacer. Sinon, cliquez sur Attribuer. Informations connexes 221 . Utilisateurs et groupes Créer une stratégie informatique, à la page 154 Comment BES12 choisit la stratégie informatique à attribuer, à la page 153 Attribuer un profil à un compte d'utilisateur Avant de commencer: créez des profils. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Dans la section Stratégie informatique et profils, cliquez sur 5. Cliquez sur un type de profil. 6. Dans la liste déroulante, cliquez sur le nom du profil que vous souhaitez attribuer à l'utilisateur. 7. Pour les types de profils classés, si le type de profil que vous avez sélectionné à l'étape 5 est déjà directement attribué à l'utilisateur, cliquez sur Remplacer. Sinon, cliquez sur Attribuer. . Informations connexes Attribution de profils, à la page 48 Comment BES12 choisit les profils à attribuer, à la page 50 Ajouter un certificat client à un compte d'utilisateur Si les terminaux utilisent l'authentification basée sur des certificats pour se connecter à un réseau ou serveur dans l'environnement de votre organisation, vous devrez peut-être distribuer des certificats client aux terminaux. Selon le type d'activation du terminal, vous pouvez ajouter un certificat client à un compte d'utilisateur individuel et envoyer le certificat aux terminaux iOS et Android de l'utilisateur. Cette option est prise en charge par les terminaux activés avec Contrôles MDM, ainsi que les terminaux Samsung KNOX et Android for Work. Le certificat client doit porter une extension .pfx ou .p12. Vous pouvez envoyer plusieurs certificats client aux terminaux. Si votre entreprise dispose d'un un service SCEP, vous pouvez également utiliser les profils SCEP pour inscrire les certificats client sur les BlackBerry 10, les terminaux iOS et les terminaux Android avec activations Secure Work Space, KNOX Workspace ou MDM KNOX. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom d'un compte d'utilisateur. 4. Dans la section Stratégie informatique et profils, cliquez sur 5. Cliquez sur Certificat utilisateur. 6. Saisissez la description du certificat. 222 . Utilisateurs et groupes 7. Dans le champ Mot de passe, saisissez un mot de passe pour le certificat. Pour les terminaux iOS, un mot de passe est requis. Pour les terminaux Android, vous n'avez pas à fournir de mot de passe dans BES12 si le terminal exécute la version la plus récente de BES12 Client. Si vous ne saisissez pas le mot de passe dans BES12, l'utilisateur doit saisir le mot de passe du terminal. 8. Dans le champ Fichier de certificat, cliquez sur Parcourir pour localiser le fichier de certificat. 9. Cliquez sur Ajouter. Modifier un certificat client pour un compte d'utilisateur 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom d'un compte d'utilisateur. 4. Dans la section Profils et stratégies informatiques, cliquez sur le certificat d'utilisateur que vous souhaitez modifier. 5. Cliquez sur 6. Procédez aux modifications nécessaires. Si la section Appliquer le certificat à est visible dans la boite de dialogue, vous ne pouvez pas modifier les terminaux auxquels le certificat s'applique. 7. Cliquez sur Enregistrer. . Attribuer une application à un compte d'utilisateur Si vous devez contrôler les applications au niveau utilisateur, vous pouvez attribuer des applications ou des groupes d'applications à des comptes d'utilisateur. Lorsque vous attribuez une application à un utilisateur, celle-ci est mise à la disposition de tous les terminaux activés par l'utilisateur pour ce type de terminal et l'application est répertoriée dans le catalogue des applications professionnelles du terminal. Vous pouvez également attribuer des applications aux utilisateurs de certains types de terminaux que l'utilisateur n'a pas encore activés. Si l'utilisateur active ultérieurement un type de terminal différent, les applications qui conviennent seront mises à la disposition du nouveau terminal. Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en fonction de la priorité : les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes d'utilisateur, puis des groupes d'utilisateurs. Avant de commencer: • Ajouter l'application à la liste des applications disponibles • Vous pouvez également ajouter des applications à un groupe d'applications • Les utilisateurs doivent configurer Secure Work Space leurs terminaux avant de pouvoir installer les applications sécurisées attribuées. 223 Utilisateurs et groupes 1. Sur la barre de menus, cliquez sur Utilisateurs > Tous les utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom d'un compte d'utilisateur. 4. Dans la section Applications, cliquez sur 5. Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au compte d'utilisateur. 6. Cliquez sur Suivant. 7. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes : . • Pour demander aux utilisateurs d'installer l'application, sélectionnez Requis. • Pour autoriser des utilisateurs à installer ou supprimer l'application, sélectionnez Facultatif. Remarque: Si la même application est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel appartient l'utilisateur et au groupe de terminaux auquel appartient le terminal, la disposition de l'application attribuée au groupe de terminaux est prioritaire. 8. Pour les terminaux iOS, pour attribuer des paramètres VPN par application à une application ou à un groupe d'applications, dans la liste déroulante VPN par application de l'application ou du groupe d'applications, sélectionnez les paramètres à lui associer. 9. Pour les terminaux iOS et Android, si une configuration d'application est disponible, sélectionnez-la pour l'attribuer à l'application. 10. Si vous ajoutez une application iOS, effectuez l'une des tâches suivantes : Tâche Étapes Si vous n'avez pas ajouté de compte VPP ou n'ajoutez pas d'application iOS 1. Si vous ajoutez une application iOS et avez ajouté au moins 1. un compte VPP 2. Cliquez sur Attribuer. Cliquez sur Suivant. Sélectionnez Oui si vous souhaitez attribuer une licence à l'application iOS. Sélectionnez Non si vous ne souhaitez pas attribuer une licence à l'application ou n'avez pas de licence à lui attribuer. 3. Si vous avez attribué une licence à l'application, dans la liste déroulante Licence d'application, sélectionnez le compte VPP à associer à l'application. 4. Dans la liste déroulante Attribuer une licence à, attribuez la licence à l'utilisateur ou au terminal. Si aucune valeur n'est spécifiée dans la liste déroulante 224 Utilisateurs et groupes Tâche Étapes Licence d'application, la liste déroulante Attribuer une licence à n'est pas disponible. 5. Cliquez sur Attribuer. Les utilisateurs doivent suivre les instructions qui s'affichent pour inscrire le compte VPP de leur entreprise avant de pouvoir installer des applications prépayées. Les utilisateurs doivent effectuer cette tâche une seule fois. Remarque: si vous autorisez l'accès à plusieurs licences dont vous disposez, les premiers utilisateurs à accéder aux licences disponibles peuvent installer l'application. Si l'application est une application requise ne disposant pas de licence disponible, vous devez obtenir la licence avant que l'utilisateur ne puisse installer l'application et ne soit soumis à toutes les règles de conformité que vous avez attribuées aux utilisateurs. Attribuer un groupe d'applications à un compte d'utilisateur Si vous devez contrôler les applications au niveau utilisateur, vous pouvez attribuer des applications ou des groupes d'applications à des comptes d'utilisateur. Lorsque vous attribuez une application à un utilisateur, celle-ci est mise à la disposition de tous les terminaux activés par l'utilisateur pour ce type de terminal et l'application est répertoriée dans le catalogue des applications professionnelles du terminal. Vous pouvez également attribuer des applications aux utilisateurs de certains types de terminaux que l'utilisateur n'a pas encore activés. Si l'utilisateur active ultérieurement un type de terminal différent, les applications qui conviennent seront mises à la disposition du nouveau terminal. Une même application peut être directement attribuée au compte d'utilisateur ou héritée de groupes d'utilisateurs ou de groupes de terminaux. Les paramètres de l'application (si l'application est requise, par exemple) sont attribués en fonction de la priorité : les groupes de terminaux bénéficient de la priorité la plus élevée, suivis des comptes d'utilisateur, puis des groupes d'utilisateurs. Avant de commencer: 1. • Ajouter des applications à un groupe d'applications • Les utilisateurs doivent configurer Secure Work Space leurs terminaux avant de pouvoir installer les applications sécurisées attribuées. Sur la barre de menus, cliquez sur Utilisateurs > Tous les utilisateurs. 225 Utilisateurs et groupes 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom d'un compte d'utilisateur. 4. Dans la section Applications, cliquez sur 5. Cochez la case en regard des applications ou du groupe d'applications que vous souhaitez attribuer au compte d'utilisateur. 6. Cliquez sur Suivant. 7. Dans la liste déroulante Disposition de l'application, exécutez l'une des opérations suivantes : . • Pour demander aux utilisateurs d'installer l'application, sélectionnez Requis. • Pour autoriser des utilisateurs à installer ou supprimer l'application, sélectionnez Facultatif. Remarque: Si la même application est attribuée à un compte d'utilisateur, un groupe d'utilisateurs auquel appartient l'utilisateur et au groupe de terminaux auquel appartient le terminal, la disposition de l'application attribuée au groupe de terminaux est prioritaire. 8. Pour les terminaux iOS, pour attribuer des paramètres VPN par application à une application ou à un groupe d'applications, dans la liste déroulante VPN par application de l'application ou du groupe d'applications, sélectionnez les paramètres à lui associer. 9. Si vous ajoutez une application iOS, effectuez l'une des tâches suivantes : Tâche Étapes Si vous n'avez pas ajouté de compte VPP ou n'ajoutez pas d'application iOS 1. Si vous ajoutez une application iOS et avez ajouté au moins 1. un compte VPP 2. Cliquez sur Attribuer. Cliquez sur Suivant. Sélectionnez Oui si vous souhaitez attribuer une licence à l'application iOS. Sélectionnez Non si vous ne souhaitez pas attribuer une licence à l'application ou n'avez pas de licence à lui attribuer. 3. Si vous avez attribué une licence à l'application, dans la liste déroulante Licence d'application, sélectionnez le compte VPP à associer à l'application. 4. Dans la liste déroulante Attribuer une licence à, attribuez la licence à l'utilisateur ou au terminal. Si aucune valeur n'est spécifiée dans la liste déroulante Licence d'application, la liste déroulante Attribuer une licence à n'est pas disponible. 5. Cliquez sur Attribuer. 226 Utilisateurs et groupes Tâche Étapes Les utilisateurs doivent suivre les instructions qui s'affichent pour inscrire le compte VPP de leur entreprise avant de pouvoir installer des applications prépayées. Les utilisateurs doivent effectuer cette tâche une seule fois. Remarque: si vous autorisez l'accès à plusieurs licences dont vous disposez, les premiers utilisateurs à accéder aux licences disponibles peuvent installer l'application. Si l'application est une application requise ne disposant pas de licence disponible, vous devez obtenir la licence avant que l'utilisateur ne puisse installer l'application et ne soit soumis à toutes les règles de conformité que vous avez attribuées aux utilisateurs. Affichage et personnalisation de la liste d'utilisateurs Vous pouvez afficher et personnaliser la liste d'utilisateurs en définissant la vue par défaut ou avancée, puis en sélectionnant les informations à afficher dans la liste d'utilisateurs. Vous pouvez sélectionner et réorganiser les colonnes de la liste d'utilisateurs, des colonnes supplémentaires étant disponibles dans la vue avancée. Vous pouvez utiliser des filtres pour afficher uniquement les informations utiles à votre tâche. Vous pouvez choisir de filtrer la liste d'utilisateurs en sélectionnant un filtre ou plusieurs filtres à la fois. Dans la vue par défaut, vous pouvez filtrer la liste des utilisateurs par système d'exploitation, fournisseur de services sans fil, groupe, stratégie informatique attribuée, propriété et non-conformité. Plus de catégories sont disponibles dans la vue avancée. Par exemple, vous pouvez filtrer la liste d'utilisateurs par modèle, version du système d'exploitation et type d'activation. À des fins d'analyse approfondie et de génération de rapports, vous pouvez exporter la liste d'utilisateurs vers un fichier .csv. Configuration de la vue par défaut ou avancée Vous pouvez définir la vue utilisée par votre navigateur pour afficher la liste d'utilisateurs dans BES12. Plusieurs colonnes et catégories de filtre sont disponibles dans la vue avancée. Remarque: dans les environnements à grande échelle, la vue avancée peut mettre plus de temps à s'afficher que la vue par défaut. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 227 Utilisateurs et groupes 2. Dans le coin supérieur droit, cliquez sur Par défaut ou sur Avancé. Sélection des informations à afficher dans la liste des utilisateurs Avant de commencer: définissez la vue par défaut ou avancée. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Cliquez sur 3. en haut de la liste d'utilisateurs et effectuez l'une des actions suivantes : • Cliquez sur Sélectionner tout ou sélectionnez la case de chaque colonne que vous souhaitez afficher. • Décochez la case de chaque colonne que vous souhaitez supprimer. • Cliquez sur Réinitialiser pour rétablir les sélections par défaut. Pour réorganiser les colonnes, cliquez sur l'en-tête d'une colonne et faites-le glisser vers la gauche ou vers la droite. Informations connexes Configuration de la vue par défaut ou avancée, à la page 227 Filtrage de la liste d'utilisateurs Lorsque vous activez la sélection multiple, vous pouvez sélectionner plusieurs filtres avant de les appliquer et vous pouvez choisir plusieurs filtres sous chaque catégorie. Lorsque vous désactivez la sélection multiple, chaque filtre est appliqué lorsque vous le sélectionnez et vous ne pouvez choisir qu'un seul filtre sous chaque catégorie. Avant de commencer: définissez la vue par défaut ou avancée. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Dans le volet de gauche, cliquez sur 3. Sous Filtres, développez une ou plusieurs catégories. pour activer ou désactiver la sélection multiple. Chaque catégorie comprend uniquement des filtres qui affichent les résultats et chaque filtre indique le nombre de résultats à afficher lorsque vous l'appliquez. 4. 5. Effectuez l'une des opérations suivantes : • Si vous avez activé la sélection multiple, cochez la case en regard de chaque filtre que vous souhaitez appliquer et cliquez sur Soumettre. • Si vous avez désactivé la sélection multiple, cliquez sur le filtre que vous souhaitez appliquer. Dans le volet de droite, vous pouvez également cliquer sur Effacer tout ou cliquez sur souhaitez supprimer. 228 pour chaque filtre que vous Utilisateurs et groupes Informations connexes Configuration de la vue par défaut ou avancée, à la page 227 Exportation d'une liste d'utilisateurs vers un fichier .csv Lorsque vous exportez la liste d'utilisateurs vers un fichier .csv, le fichier inclut toutes les colonnes disponibles dans la vue par défaut ou avancée. Avant de commencer: définissez la vue par défaut ou avancée. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Si nécessaire, utilisez un filtre pour la liste d'utilisateurs. 3. Effectuez l'une des opérations suivantes : 4. • Cochez la case en haut de la liste d'utilisateurs pour sélectionner tous les utilisateurs. • Cochez la case pour chaque utilisateur que vous souhaitez inclure dans le fichier. Cliquez sur et enregistrez le fichier. Informations connexes Configuration de la vue par défaut ou avancée, à la page 227 Filtrage de la liste d'utilisateurs, à la page 228 229 Activation des terminaux Activation des terminaux 12 Lorsque vous activez un terminal, vous pouvez associer ce terminal à BES12 pour gérer les terminaux et l'accès des utilisateurs aux données professionnelles de leurs terminaux. Lorsqu'un terminal est activé, vous pouvez envoyer des stratégies informatiques et des profils pour contrôler les fonctionnalités disponibles et gérer la sécurité des données professionnelles. Vous pouvez également attribuer des applications pour permettre à l'utilisateur de les installer. Selon le niveau de contrôle lié au type d'activation sélectionné, vous pouvez également protéger le terminal en limitant l'accès à certaines données, en définissant à distance des mots de passe, en verrouillant le terminal ou en supprimant des données. Vous pouvez attribuer des types d'activation pour répondre aux exigences des terminaux appartenant à votre organisation et aux terminaux appartenant aux utilisateurs. Différents types d'activation vous offrent différents degrés de contrôle des données professionnelles et personnelles des terminaux, du contrôle total de toutes les données au contrôle spécifique de données professionnelles uniquement. Étapes à suivre pour activer des terminaux Pour activer des terminaux, procédez comme suit : Étape Action Vérifiez que toutes les conditions d'activation sont remplies. Configurez les paramètres d'activation par défaut. Si vous envisagez de prendre en charge Android for Work, configurez BES12 pour qu'il se connecte à votre domaine Google. Reportez-vous à la section Prise en charge des activations Android for Work . mettez à jour le modèle de l'e-mail d'activation. Si vous envisagez de prendre en charge les terminaux Windows 10, consultez la section Créer un modèle d'e-mail d'activation Windows 10 . Créez un profil d'activation et attribuez-le à un compte d'utilisateur ou à un groupe auquel appartient l'utilisateur. Définissez un mot de passe d'activation pour l'utilisateur. 230 Activation des terminaux Exigences : Activation Pour tous les terminaux : • Une licence disponible dansBES12pour le terminal que vous souhaitez activer. Pour plus d'informations sur les licences,consultez le contenu relatif aux licences. • Connexion sans fil Pour les terminaux iOS : • La dernière version de l'application Good for BES12 installée sur le terminal Pour les terminaux Android et Windows Phone 8.0 et 8.1 : • La dernière version de BES12 Client installée sur le terminal Pour les terminaux Windows 10 et Windows 10 Mobile : • Un certificat BlackBerry Enterprise Server racine RSA installé sur le terminal • Pour les terminaux qui utilisent une configuration proxy, un proxy qui ne nécessite pas d'authentification. Pour plus d'informations, reportez-vous à https://msdn.microsoft.com/en-us/library/windows/hardware/mt299056%28v=vs. 85%29.aspx#enrollment_via_proxy. • Pour les ordinateurs, Windows 10 Home n'offre qu'une prise en charge limitée. Pour plus d'informations, reportezvous à https://msdn.microsoft.com/en-us/library/windows/hardware/mt299056(v=vs. 85).aspx#Change_history_for_MDM_documentation. Pour les terminaux Android attribués de façon à avoir un profil professionnel Android for Work et aucun profil personnel : • Un Google code d'activation Gérer l'expiration et la longueur du mot de passe d'activation par défaut Vous pouvez spécifier la durée par défaut pendant laquelle un mot de passe d'activation reste valide avant expiration. Vous pouvez également spécifier la longueur du mot de passe généré automatiquement envoyé aux utilisateurs dans un des e-mails d'activation et spécifier si la période d'expiration expire après la première activation du terminal. La valeur que vous saisissez pour l'expiration du mot de passe d'activation apparait comme paramètre par défaut dans le champ Mot de passe d'activation des fenêtres Définir le mot de passe d'activation du terminal et Ajouter un utilisateur. 1. Sur la barre de menus, cliquez sur Paramètres. 231 Activation des terminaux 2. Dans le volet de gauche, développez Paramètres généraux. 3. Cliquez sur Paramètres d'activation par défaut. 4. Dans le champ Expiration du mot de passe, saisissez la durée par défaut pendant laquelle un mot de passe d'activation reste valide avant expiration. Cette durée par défaut peut être comprise entre 1 minute et 30 jours. 5. Si nécessaire, cochez la case La période d'activation expire à l'issue de l'activation du premier terminal. 6. Dans le champ Longueur du mot de passe d'activation généré automatiquement, remplacez la valeur par la longueur du mot de passe d'activation généré automatiquement. Cette valeur peut être comprise entre 4 et 16. 7. Sélectionnez ou désélectionnez l'option Activer l'inscription auprès de BlackBerry Infrastructure pour modifier la manière dont les utilisateurs activent leurs terminaux mobiles. Si vous désélectionnez cette option, les utilisateurs seront invités à indiquer l'adresse du serveur pour BES12 lors de l'activation de terminaux. Pour plus d'informations, reportezvous à Activer l'inscription de l'utilisateur auprès de BlackBerry Infrastructure . 8. Cliquez sur Enregistrer. Informations connexes Activer l'inscription de l'utilisateur auprès de BlackBerry Infrastructure, à la page 232 Activer l'inscription de l'utilisateur auprès de BlackBerry Infrastructure L'inscription avec BlackBerry Infrastructure simplifie la manière dont les utilisateurs activent leurs terminaux mobiles. Une fois l'inscription activée, les utilisateurs n'ont pas besoin de saisir l'adresse du serveur lorsqu'ils activent leurs terminaux. L'inscription est activée par défaut. Si vous modifiez ce paramètre, vous devrez peut-être mettre à jour l'e-mail d'activation à l'aide de la procédure suivie par les utilisateurs pour activer leurs terminaux. Les terminaux exécutant Windows 10 et Windows 10 Mobile n'utilisent pas la même méthode pour contacter BlackBerry Infrastructure et dès lors, l'activation ou la désactivation de l'inscription de l'utilisateur ne modifient en rien le processus d'activation de ces terminaux. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, développez Paramètres généraux. 3. Cliquez sur Paramètres d'activation par défaut. 4. Veillez à cocher la case Activer l'inscription auprès de BlackBerry Infrastructure. 5. Cliquez sur Enregistrer. 232 Activation des terminaux Prise en charge des activations Android for Work En fonction de votre type de domaine Google et si autorisez BES12 à créer des comptes d'utilisateur dans le domaine Google, et si vous prévoyez d'activer des terminaux avec un profil professionnel uniquement, vous devez exécuter différentes tâches pour prendre en charge les activations des terminaux avec Android for Work. • Si vous disposez d'un domaine Google Apps for Work, consultez Prendre en charge les activations Android for Work avec un domaine Google Apps for Work . • Si vous disposez d'un domaine Google for Work, consultez Prendre en charge les activations Android for Work avec un domaine Google for Work . Prendre en charge les activations Android for Work avec un domaine Google Apps for Work Si vous avez configuré BES12 pour se connecter à un domaine Google Apps for Work, vous devez exécuter les tâches suivantes afin de permettre aux utilisateurs d'activer leurs terminaux avec un type d'activation Android for Work. Avant de commencer: • Assurez-vous que vous disposez d'un domaine Google Apps for Work. Pour plus d'informations sur la création d'un domaine Google Apps for Work, rendez-vous sur https://www.google.com/a/signup. • configurez BES12 pour la prise en charge de Android for Work. Pour plus d'informations sur la configuration de BES12 pour la prise en charge deAndroid for Work,consultez le contenu relatif à la configuration. 1. Dans votre domaine Google Apps for Work, créez des comptes d'utilisateur pour vos utilisateurs Android for Work. 2. Si vous prévoyez d'attribuer le type d'activation Espace Travail uniquement (Android for Work) et que certains utilisateurs disposent de terminaux exécutant Android 6.0 ou version ultérieure, sélectionnez le paramètre Appliquer la stratégie EMM dans le domaine Google Apps for Work. 3. Dans BES12, créez des comptes d'utilisateur pour vos utilisateurs Android for Work. L'adresse électronique de chaque compte doit correspondre à l'adresse électronique du compte Google Apps for Work correspondant. 4. Assurez-vous que vos utilisateurs connaissent le mot de passe de leurs comptes Google Apps for Work. 5. Assurez-vous que vos utilisateurs Android for Work peuvent accéder aux ressources de l'entreprise en attribuant un profil de messagerie et le groupe d'applications « Applications Android for Work recommandées ». 233 Activation des terminaux Prendre en charge les activations Android for Work avec un domaine Google for Work Lorsque vous configurez BES12 pour se connecter à un domaine Google for Work, vous devez choisir si vous autorisez BES12 à créer des comptes d'utilisateur dans ce domaine Google for Work. Ce choix affecte les tâches que vous devez exécuter avant que les utilisateurs ne parviennent à activer leurs terminaux avec un type d'activation Android for Work. Avant de commencer: • Assurez-vous que vous disposez d'un domaine Google for Work. Pour plus d'informations sur la création d'un domaine Google for Work, rendez-vous sur https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK. • configurezBES12pour la prise en charge deAndroid for Work. Pour plus d'informations sur la configuration deBES12pour la prise en charge deAndroid for Work,consultez le contenu relatif à la configuration. Tâches à exécuter si BES12 ne peut pas créer de comptes d'utilisateur dans votre domaine Google for Work Si autorisez BES12 à créer des comptes d'utilisateur dans votre domaine Google for Work, vous devez créer des comptes d'utilisateur dans votre domaine Google for Work et dans BES12. 1. Dans BES12, créez des comptes d'utilisateur associés à l'annuaire pour vos utilisateurs Android for Work. 2. Effectuez l'une des opérations suivantes : • Dans votre domaine Google for Work, créez des comptes d'utilisateur pour vos utilisateurs Android for Work. Chaque adresse électronique doit correspondre à l'adresse électronique du compte d'utilisateur BES12 correspondant. • Utilisez l'outil Google Apps Directory Sync pour synchroniser votre domaine Google for Work avec votre annuaire d'entreprise. Ce faisant, vous n'êtes pas tenu de créer de comptes d'utilisateur manuellement dans votre domaine Google for Work. 3. Si vous prévoyez d'attribuer le type d'activation Espace Travail uniquement (Android for Work) et que certains utilisateurs disposent de terminaux exécutant Android 6.0 ou version ultérieure, sélectionnez le paramètre Appliquer la stratégie EMM dans le domaine Google for Work. 4. Assurez-vous que vos utilisateurs Android for Work connaissent le mot de passe de leurs comptes Google for Work. 5. Pour vous assurer que vos utilisateurs Android for Work peuvent accéder aux ressources professionnelles, attribuez un profil de messagerie et le groupe d'applications « Applications Android for Work recommandées ». Tâches à exécuter si BES12 peut créer de comptes d'utilisateur dans votre domaine Google for Work Si vous autorisezBES12à créer des comptes d'utilisateur dans votre domaineGoogle for Work, BES12 crée un compteGoogle for Worklorsqu'un nouvel utilisateur active un terminal.BES12envoie le mot de passe du nouveau compte à l'adresse électronique 234 Activation des terminaux de l'utilisateur. Si vous choisissez cette option, assurez-vous que vous avez configuré le compte de serviceGooglede votre domaineGoogle for Workde manière à autoriserBES12à créer des comptes d'utilisateur. 1. Dans BES12, créez des comptes d'utilisateur associés à l'annuaire pour vos utilisateurs Android for Work. 2. Pour vous assurer que vos utilisateurs Android for Work peuvent accéder aux ressources professionnelles, attribuez un profil de messagerie et le groupe d'applications « Applications Android for Work recommandées ». 3. Si vous prévoyez d'attribuer le type d'activation Espace Travail uniquement (Android for Work) et que certains utilisateurs disposent de terminaux exécutant Android 6.0 ou version ultérieure, sélectionnez, dans votre domaine Google for Work, le paramètre Appliquer la stratégie EMM. Sélectionnez les applications de productivité utilisées sur les terminaux PRIV utilisant Android for Work Pour pouvoir utiliser les applications de productivité sur les terminaux PRIV utilisant Android for Work, vous devez attribuer un groupe d'applications contenant les applications de productivité que vous souhaitez placer sur les terminaux aux utilisateurs. Vous disposez des options suivantes : • BlackBerry Productivity Suite : le groupe d'applications BlackBerry Productivity Suite contient les applications suivantes : services BlackBerry, BlackBerry Hub, Calendrier BlackBerry, Contacts par BlackBerry, Notes par BlackBerry et Tâches par BlackBerry. • Diviser la productivité : le groupe d'applications Divide Productivity contient les applications Android for Work de Google dont la messagerie, le calendrier, les contacts, les tâches et les notes. Avant de commencer: • configurezBES12pour la prise en charge deAndroid for Work. Pour plus d'informations sur la configuration deBES12pour prendre en chargeAndroid for Work,consultez le contenu relatif à la configuration. • Attribuez un profil d'activation aux utilisateurs ou groupes d'utilisateurs avec l'un des types d'activation suivants : ◦ Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) ◦ Travail et Personnel - Confidentialité de l'utilisateur (Android for Work - Premium) ◦ Espace Travail uniquement (Android for Work) ◦ Espace Travail uniquement (Android for Work - Premium) 1. Sur la barre de menus, cliquez sur Applications > Groupes d'applications. 2. Si les groupes d'applications Divide Productivity et BlackBerry Productivity Suite apparaissent déjà dans la liste d'applications, assurez-vous que les applications correctes, comme indiqué à l'étape 4, ont été ajoutées aux groupes d'applications, puis passez à l'étape 5. 3. Si les groupes d'applications ne figurent pas déjà dans la liste d'applications, vous devez ajouter toutes les applications suivantes à BES12. • https://play.google.com/store/apps/details?id=com.blackberry.infrastructure 235 Activation des terminaux 4. • https://play.google.com/store/apps/details?id=com.blackberry.hub • https://play.google.com/store/apps/details?id=com.blackberry.calendar • https://play.google.com/store/apps/details?id=com.blackberry.contacts • https://play.google.com/store/apps/details?id=com.blackberry.notes • https://play.google.com/store/apps/details?id=com.blackberry.tasks • https://play.google.com/store/apps/details?id=com.google.android.apps.work.pim En fonction de la suite de productivité que vous voulez utiliser, créez les groupes d'applications suivants. Tâche Étapes Créer un groupe d'applications pour le BlackBerry Productivity Suite Ajoutez les applications suivantes : Créer un groupe d'applications pour Divide Productivity 5. • Services BlackBerry • BlackBerry Hub • BlackBerryCalendrier • Contacts par BlackBerry • Notes par BlackBerry • Tâches par BlackBerry Ajoutez Divide Productivity. Attribuez le groupe d'applications aux utilisateurs, aux groupes d'utilisateurs ou aux groupes de terminaux. Activation d’un BlackBerry Hub unifié sur des terminaux PRIV qui utilisent Android for Work BlackBerry Hub permet aux utilisateurs d’afficher les messages, notifications et évènements en un seul endroit. Pour permettre aux utilisateurs de terminaux Android for Work d’afficher les messages professionnels et personnels dans BlackBerry Hub, vous devez vérifier les paramètres suivants dans BES12 : • Dans l’onglet Android du profil de messagerie attribué aux utilisateurs, les éléments suivants doivent être sélectionnés : • Autoriser le partage de données entre les profils professionnel et personnel • Autoriser les applications personnelles à accéder aux données professionnelles Pour plus d'informations sur la création d’un profil de messagerie, consultez la section Créer un profil de messagerie. • Le groupe d'applications BlackBerry Productivity Suite doit être attribué aux utilisateurs. 236 Activation des terminaux Pour plus d'informations, reportez-vous à Sélectionnez les applications de productivité utilisées sur les terminaux PRIV utilisant Android for Work . Pour plus d'informations sur l'utilisation de BlackBerry Hub, reportez-vous au contenu relatif à BlackBerry Hub. Pour obtenir des informations sur la résolution de problèmes, rendez-vous sur le site http://support.blackberry.com/kb et lisez l'article 37721. Prise en charge des activations Windows 10 Remarque: Si vous souhaitez gérer des terminaux Windows 10 à l'aide de MDM, les terminaux ne peuvent pas être gérés par Microsoft System Center Configuration Manager. Vous pouvez aider les utilisateurs à activer les terminauxWindows 10de deux manières : • Déployer un service de repérage pour simplifier les activationsWindows 10. Pour plus d'informations,reportez-vous au contenu relatif à la configuration. • Créez ou modifiez un modèle d'e-mail d'activation pour fournir les informations d'activation Windows 10. Pour plus d'informations, reportez-vous à Créer un modèle d'e-mail d'activation Windows 10 . Gestion des modèles d'e-mail d'activation Les modèles d'e-mail d'activation permettent de personnaliser les e-mails d'activation envoyés aux utilisateurs. Vous pouvez insérer des variables pour les éléments tels que le nom d'utilisateur, l'adresse électronique ou le mot de passe d'activation. En outre, vous pouvez personnaliser leur apparence à l'aide de l'éditeur HTML. Vous pouvez créer plusieurs modèles à utiliser pour différents types de terminal ou d'activation. Vous pouvez modifier les modèles d'e-mail par défaut ou en créer de nouveaux. Lorsque vous ajoutez un utilisateur à BES12 ou que vous définissez un mot de passe d'activation pour un utilisateur, vous pouvez sélectionner un modèle d'e-mail. Ainsi, BES12 enverra l'e-mail personnalisé à l'utilisateur, rédigé d'après le modèle que vous aurez sélectionné. BES12 comprend quelques modèles d'email d'activation par défaut. Selon votre configuration BES12, vous verrez une partie ou l'ensemble des modèles d'e-mail par défaut suivants dans Paramètres > Modèles d'e-mail : Modèle d'e-mail Description E-mail d'activation par défaut Vous pouvez modifier ce modèle par défaut, mais vous ne pouvez pas le supprimer. Ce modèle contient les instructions dont un utilisateur a besoin pour activer son terminal. Vous pouvez choisir d'envoyer deux e-mails distincts à l'utilisateur, le premier contenant les instructions d'activation et le second uniquement le mot de passe d'activation. 237 Activation des terminaux Modèle d'e-mail Description Si vous ne sélectionnez pas un autre modèle, BES12 utilise ce modèle lorsqu'il envoie un e-mail d'activation à un utilisateur. E-mail d'activation DEP de Apple Vous pouvez modifier ou supprimer ce modèle. Ce modèle contient les instructions dont un utilisateur a besoin pour activer un terminal DEP Apple. Vous pouvez choisir d'envoyer deux e-mails distincts à l'utilisateur, le premier contenant les instructions d'activation et le second uniquement le mot de passe d'activation. Si vous configurez BES12 pour utiliser DEP Apple, ce modèle est disponible. Utilisateur de Android for Work Vous pouvez modifier ce modèle par défaut, mais vous ne pouvez pas le supprimer. Ce modèle fournit des instructions pour activer Android for Work sur un terminal ainsi que le mot de passe du compte Google de l'utilisateur. Si vous configurez BES12 pour qu'il prenne en charge Android for Work, les utilisateurs reçoivent automatiquement cet e-mail s'ils sont assignés à l'un des types d'activation suivants : • Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) • Travail et Personnel - Confidentialité de l'utilisateur (Android for Work Premium) Vous devez également sélectionner le modèle d'e-mail d'activation par défaut pour fournir aux utilisateurs les instructions leur permettant d'activer leur terminal dans BES12. Mot de passe Android for Work Vous pouvez modifier ce modèle par défaut, mais vous ne pouvez pas le supprimer. Ce modèle comprend un code d'activation Android for Work pour les utilisateurs qui activent des terminaux avec un espace de travail uniquement. Si vous configurez BES12 pour qu'il prenne en charge Android for Work, les utilisateurs reçoivent automatiquement cet e-mail s'ils sont assignés à l'un des types d'activation suivants : • Espace Travail uniquement (Android for Work) • Espace Travail uniquement (Android for Work - Premium) Vous devez également sélectionner le modèle d'e-mail d'activation Espace Travail uniquement (Android for Work) pour fournir aux utilisateurs les instructions leur permettant d'activer leur terminal dans BES12. E-mail d'activation Espace Travail uniquement (Android for Work) Vous pouvez modifier ou supprimer ce modèle. 238 Activation des terminaux Modèle d'e-mail Description Si vous configurez BES12 pour qu'il prenne en charge Android for Work, ce modèle est disponible. Créer un modèle d'e-mail d'activation Avant de commencer: Si vous activez des terminaux à l'aide de Android for Work, consultez Créer un modèle d'e-mail d'activation Android for Work. 1. Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux. 2. Cliquez sur Modèles d'e-mail. 3. Cliquez sur 4. Dans le champ Nom, saisissez un nom pour identifier ce modèle. 5. Dans le champ Objet, modifiez le texte pour personnaliser la ligne d'objet du premier e-mail d'activation. 6. Dans le champ Message, saisissez le corps du texte de l'e-mail d'activation. . Sélectionnez Activation de terminal. • Utilisez l'éditeur HTML pour sélectionner le format de police et insérer des images (par exemple, un logo d'entreprise). • Insérez des variables dans le texte pour personnaliser le message (par exemple, utilisez la variable %UserDisplayName% pour insérer le nom du destinataire). Pour obtenir la liste des variables disponibles, consultez Variables par défaut. • Pour obtenir un échantillon du texte, cliquez sur Texte suggéré. • Pour les activations de Windows 10, consultez Créer un modèle d'e-mail d'activation Windows 10 . 7. Pour envoyer le mot de passe d'activation et les instructions d'activation dans des e-mails distincts, sélectionnez Envoyer deux e-mails d'activation distincts : le premier pour les instructions, le second pour le mot de passe. Si vous décidez d'envoyer un seul e-mail d'activation, veillez à inclure le mot de passe d'activation (ou la variable correspondante) dans le premier e-mail. 8. Dans le champ Objet, saisissez la ligne d'objet du second e-mail d'activation. 9. Personnalisez le corps du texte du second e-mail d'activation que vous envoyez aux utilisateurs. Veillez à inclure le mot de passe d'activation ou la variable du mot de passe d'activation. 10. Cliquez sur Enregistrer. Créer un modèle d'e-mail d'activation Windows 10 Vous pouvez aider les utilisateurs à activer des terminaux Windows 10 en créant ou en modifiant un modèle d'e-mail d'activation qui effectue les opérations suivantes : 239 Activation des terminaux • Explique que les utilisateurs doivent installer un certificat avant d'activer le terminal. Assurez-vous que les utilisateurs de la tablette ou de l'ordinateur Windows 10 sélectionnent les options Utilisateur actuel et Autorités de certification racine approuvées lors de l'installation du certificat. • Comprend la variable %RsaRootCaCertUrl% pour que les utilisateurs Windows 10 puissent télécharger le certificat • Comprend la variable %ClientlessActivationURL% pour fournir l'adresse du serveur Windows 10 • Comprend un lien vers http://docs.blackberry.com/activate-your-device-on-BES12.html où les utilisateurs peuvent regarder une vidéo du processus d'activation de Windows 10 Vous pouvez utiliser les exemples ci-dessous pour créer ou modifier votre modèle d'e-mail. Exemple 1 • Vous pouvez utiliser cet exemple en tant que texte supplémentaire dans le modèle d'e-mail d'activation par défaut. Il inclut uniquement les liens supplémentaires requis pour activer un terminal Windows 10. Si vous activez un terminal Windows 10, vous aurez besoin des informations suivantes : • Adresse du serveur de certificat : %RsaRootCaCertUrl% • Adresse du serveur d'activation : %ClientlessActivationURL% Example 2 • Vous pouvez utiliser cet exemple comme modèle distinct pour les terminaux Windows 10 uniquement. Il comprend toutes les informations et instructions nécessaires pour les utilisateurs Windows 10, mais ne contient pas d'informations pour les utilisateurs possédant d'autres types de terminaux. %UserDisplayName%, Votre administrateur a activé votre terminal Windows 10 pour BES12. L'activation de votre terminal nécessite les informations suivantes : • Le certificat situé ici : %RsaRootCaCertUrl% • Votre adresse électronique professionnelle: %UserEmailAddress% • Votre mot de passe d'activation : votre mot de passe d'activation sera envoyé dans un e-mail séparé • Vous pouvez également avoir besoin de l'adresse de votre serveur : %ClientlessActivationURL% Si vous activez un terminal Windows 10 Mobile, procédez comme suit : 1. Cliquez sur le lien suivant pour installer le certificat requis : %RsaRootCaCertUrl%. Veillez à sélectionner la notification de téléchargement pour installer le certificat. 2. Accédez à Paramètres > Comptes > Accès professionnel et sélectionnez Se connecter. 3. Saisissez votre adresse électronique professionnelle et votre mot de passe d'activation. Vous pouvez également avoir besoin de saisir l'adresse de serveur suivante : %ClientlessActivationURL%. 240 Activation des terminaux Si vous activez une tablette ou un ordinateur Windows 10, procédez comme suit : 1. Cliquez sur le lien suivant pour installer le certificat requis : %RsaRootCaCertUrl%. Lors de l'installation du certificat, choisissez l'emplacement du magasin de l'utilisateur actuel et spécifiez le magasin de certificat Autorités de certification racine approuvées au lieu de laisser Windows 10 choisir le magasin automatiquement. 2. Accédez à Paramètres > Comptes > Accès professionnel et sélectionnez Se connecter. 3. Saisissez votre adresse électronique professionnelle et votre mot de passe d'activation. Vous pouvez également avoir besoin de saisir l'adresse de serveur suivante : %ClientlessActivationURL%. Vous pouvez regarder une vidéo sur la façon d'activer votre terminal ici : http://docs.blackberry.com/activateyour-device-on-BES12.html Vous pouvez gérer votre terminal Windows 10 dans BES12 Self-Service sur %UserSelfServicePortalURL%. Pour vous connecter, utilisez les informations suivantes : • Nom d'utilisateur BES12 Self-Service : %UserName% • Votre mot de passe BES12 Self-Service peut être votre mot de passe de réseau existant, ou il peut avoir été livré dans un e-mail séparé. Si vous ne connaissez pas votre mot de passe, contactez votre administrateur. Veuillez conserver ces informations dans vos dossiers. Si vous avez des questions, contactez votre administrateur. Bienvenue dans BES12 ! Créer un modèle d'e-mail d'activation Android for Work Vous pouvez créer un modèle d'e-mail d'activation à envoyer aux utilisateurs en plus des e-mails Android for Work automatiquement envoyés. Cette tâche est identique à celle de création de tout autre modèle d'email. 1. Sur la barre de menus, cliquez sur Paramètres > Paramètres généraux. 2. Cliquez sur Modèles d'e-mail. 3. Effectuez l'une des tâches suivantes : Tâche Étapes Modifier un modèle existant 1. Cliquez sur E-mail d'activation de l'espace Travail uniquement (Android for Work). 2. Modifiez le champ Nom, Objet ou Message. Si vous commettez une erreur et que vous souhaitez recommencer, cliquez sur Annuler pour revenir à la page Modèles d'e-mail. 3. Une fois vos modifications terminées, cliquez sur Enregistrer. 241 Activation des terminaux Tâche Étapes Créer un nouveau modèle d'e-mail 1. Cliquez sur 2. Suivez les instructions de la section Créer un modèle d'e-mail d'activation. . Sélectionnez Activation de terminal Android for Work. Modifier un modèle d'e-mail d'activation 1. Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux. 2. Cliquez sur Modèles d'e-mail. 3. Cliquez sur E-mail d'activation par défaut ou sur n'importe quel modèle existant que vous souhaitez modifier. 4. Modifiez les champs Nom, Objet ou Message. Si vous commettez une erreur et que vous souhaitez tout recommencer, cliquez simplement sur Annuler pour revenir à la page Modèles d'e-mail. 5. Une fois vos modifications terminées, cliquez sur Enregistrer. Informations connexes Variables par défaut, à la page 55 Création de profils d'activation Vous pouvez contrôler la manière dont les terminaux sont activés et gérés à l'aide des profils d'activation. Un profil d'activation indique le nombre et le type de terminaux qu'un utilisateur peut activer et le type d'activation à utiliser pour chaque type de terminal. Le type d'activation vous permet de configurer le niveau de contrôle dont vous disposez sur les terminaux activés. Vous pouvez par exemple disposer d'un contrôle total sur un terminal que vous attribuez à un utilisateur, ou veiller à n'avoir aucun contrôle sur les données personnelles d'un terminal appartenant à un utilisateur et qu'il apporte au travail. • Types d'activation : terminaux BlackBerry 10 • Types d'activation : terminaux iOS • Types d'activation : terminaux OS X • Types d'activation : terminaux Android • Types d'activation : terminaux Windows Le profil d'activation attribué s'applique uniquement aux terminaux activés par l'utilisateur après que vous avez attribué le profil. Les terminaux déjà activés ne sont pas automatiquement mis à jour pour correspondre au profil d'activation nouveau ou mis à jour. 242 Activation des terminaux Lorsque vous ajoutez un utilisateur à BES12, le profil d'activation par défaut est attribué au compte d'utilisateur. Vous pouvez modifier le profil d'activation par défaut selon vos besoins ou créer un profil d'activation personnalisé et l'attribuer aux utilisateurs ou groupes d'utilisateurs. Types d'activation : terminaux BlackBerry 10 Type d'activation Description Travail et Personnel - Entreprise Ce type d'activation fournit un contrôle des données professionnelles sur les terminaux, tout en veillant à assurer la confidentialité des données personnelles. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Toutes les données professionnelles des précédentes activations sont supprimées. Vous pouvez contrôler l'espace Travail sur le terminal à l'aide de commandes et de stratégies informatiques, mais vous ne pouvez contrôler aucun aspect de l'espace Personnel sur le terminal. Espace Travail uniquement Ce type d'activation offre un contrôle complet du terminal et ne fournit pas un espace séparé pour les données personnelles. Lorsqu'un terminal est activé, l'espace Personnel et toutes les données professionnelles des précédentes activations sont supprimées. Un espace Travail est installé et l'utilisateur doit créer un mot de passe pour accéder au terminal. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Vous pouvez contrôler le terminal à l'aide de commandes et de stratégies informatiques. Remarque: Pour les terminaux dotés du type d'activation « Espace Travail uniquement », vous devez créer et attribuer un profil VPN pour permettre l'accès à l'Internet via le réseau de votre entreprise. Sans une connexion VPN au réseau de votre entreprise, les terminaux dotés du type d'activation « Espace Travail uniquement » peuvent uniquement accéder à Internet via un réseau Wi-Fi professionnel. Pour plus d'informations, reportez-vous à Configuration de réseaux VPN professionnels pour les terminaux. Travail et Personnel - Régulé Ce type d'activation permet de contrôler à la fois les données professionnelles et personnelles. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail. Les données professionnelles sont protégées à l'aide du cryptage et de 243 Activation des terminaux Type d'activation Description l'authentification par mot de passe. Toutes les données professionnelles des précédentes activations sont supprimées. Vous pouvez contrôler à la fois l'espace Travail et l'espace Personnel sur le terminal à l'aide de commandes et de stratégies informatiques. Types d'activation : terminaux iOS Type d'activation Description Contrôles MDM Ce type d'activation fournit une gestion de base des terminaux à l'aide des commandes de terminaux mises à disposition par iOS. Il n'existe pas d'espace Travail séparé installé sur le terminal, et aucune sécurité ajoutée pour les données professionnelles. Vous pouvez contrôler le terminal à l'aide de commandes et de stratégies informatiques. Lors de l'activation, les utilisateurs disposant d'un terminal doivent installer un profil de gestion des terminaux mobiles. Travail et Personnel - Contrôle total Cette activation offre un contrôle complet des terminaux grâce à Secure Work Space. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Vous pouvez contrôler l'espace Travail et certains autres aspects du terminal qui affectent à la fois l'espace Personnel et l'espace Travail à l'aide de commandes et de stratégies informatiques. Lors de l'activation, les utilisateurs doivent installer un profil de gestion des terminaux mobiles. Travail et Personnel - Confidentialité de l'utilisateur Ce type d'activation utilise Secure Work Space pour fournir un contrôle des données professionnelles sur les terminaux, tout en veillant à assurer la confidentialité des données personnelles. Lorsqu'un terminal est activé, un espace Travail séparé est créé sur le terminal et l'utilisateur doit définir un mot de passe pour accéder à l'espace Travail. Les données professionnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Vous pouvez contrôler l'espace Travail sur le terminal à l'aide de commandes et de stratégies informatiques, mais vous ne pouvez contrôler aucun aspect de l'espace Personnel sur le terminal. Les utilisateurs ne sont pas tenus d'installer un profil de gestion des terminaux mobiles. Remarque: Pour le modèle de licence SIM, vous devez sélectionner l'option « Autoriser l'accès à la carte SIM et aux informations matérielles du terminal pour 244 Activation des terminaux Type d'activation Description activer le modèle de licence SIM » dans le profil d'activation. Les utilisateurs doivent installer un profil MDM qui peut uniquement accéder à la carte SIM et aux informations matérielles du terminal qui sont requises pour déterminer si une licence SIM appropriée est disponible (par exemple, ICCID et IMEI). Types d'activation : terminaux OS X Type d'activation Description Contrôles MDM Ce type d'activation fournit une gestion de base des terminaux à l'aide des commandes de terminaux mises à disposition par OS X. Lorsqu'un utilisateur active un terminal OS X, le terminal et l'utilisateur sont configurés en tant qu'entités distinctes sur BES12. Des canaux de communication séparés sont établis entre BES12 et le terminal et BES12 et le compte d'utilisateur, ce qui vous permet de gérer l'appareil et l'utilisateur séparément. Certains profils sont affectées à l'utilisateur uniquement, par exemple les profils de messagerie. Certains profils sont affectées au terminal uniquement, par exemple les profils de proxy. Certains profils vous permettent de choisir d'appliquer le profil au terminal ou à l'utilisateur, par exemple les profils Wi-Fi. Pour plus d'informations, reportez-vous à Paramètres de profil . Vous pouvez contrôler le terminal à l'aide de commandes et de stratégies informatiques. Les utilisateurs activent les terminaux OS X à l'aide de BES12 Self-Service. Types d'activation : terminaux Android Pour les terminaux Android, vous pouvez sélectionner plusieurs types d'activation et les classer pour vous assurer que BES12 attribue le type d'activation le plus approprié à ces terminaux. Par exemple, si vous classez « Espace Travail uniquement (Samsung KNOX) » en premier et « Contrôles MDM » en deuxième, les terminaux prenant en charge Samsung KNOX Workspace reçoivent le premier type d'activation. Remarque: KNOX MDM permet au terminal d'utiliser les règles de stratégie informatique KNOX MDM dans BES12 plutôt que les règles de base disponibles pour tous les terminaux Android. KNOX Workspace crée un espace Travail séparé sur le terminal afin de séparer les données et les applications professionnelles des données et des applications personnelles. Les types d'activation Android sont organisés dans les tableaux suivants : • terminaux Android • terminaux Android for Work • Samsung KNOX Workspace 245 Activation des terminaux terminaux Android Les types d'activation suivants s'appliquent à tous les terminaux Android, y compris PRIV. Type d'activation Description Contrôles MDM Ce type d'activation vous permet de gérer le terminal à l'aide de commandes et de règles de stratégie informatique. Si le terminal prend en charge KNOX MDM, ce type d'activation s'applique aux règles de stratégie informatique KNOX MDM. Un espace Travail distinct n'est pas créé sur le terminal, et il n'existe aucune sécurité ajoutée pour les données professionnelles. Afin d'appliquer automatiquement un profil de messagerie à un terminal Android activé avec Contrôles MDM, l'application TouchDown doit être installée sur le terminal. Lors de l'activation, les utilisateurs doivent octroyer les autorisations d'administrateur à BES12 Client. Travail et Personnel - Contrôle total (Secure Work Space) Ce type d'activation utilise Secure Work Space pour vous permettre de gérer le terminal dans son ensemble à l'aide de commandes et de règles de stratégie informatique. Si le terminal prend en charge KNOX MDM, il applique les règles de stratégie informatique KNOX MDM. Ce type d'activation crée un espace Travail séparé sur le terminal et l'utilisateur doit créer un mot de passe pour accéder à cet espace Travail. Les données de l'espace Travail sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Lors de l'activation, les utilisateurs doivent octroyer les autorisations d'administrateur à BES12 Client. Travail et Personnel - Confidentialité de l'utilisateur (Secure Work Space) Ce type d'activation utilise Secure Work Space pour préserver la confidentialité des données personnelles, mais vous permet de gérer les données professionnelles à l'aide de commandes et de règles de stratégie informatique. Ce type d'activation ne prend pas en charge les règles de stratégie informatique KNOX MDM. Ce type d'activation crée un espace Travail séparé sur le terminal et l'utilisateur doit créer un mot de passe pour accéder à cet espace Travail. Les données de l'espace Travail sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Les utilisateurs ne sont pas tenus d'octroyer des autorisations d'administrateur à BES12 Client. terminaux Android for Work Les types d'activation suivants s'appliquent uniquement aux terminaux Android prenant en charge Android for Work, y compris PRIV. 246 Activation des terminaux Type d'activation Description Travail et Personnel - Confidentialité de l'utilisateur (Android for Work) Ce type d'activation préserve la confidentialité des données personnelles, mais vous permet de gérer les données professionnelles à l'aide de commandes et de règles de stratégie informatique. Ce type d'activation crée un profil professionnel sur le terminal qui sépare les données professionnelles des données personnelles. Les données professionnelles et personnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Ce type d'activation ne prend pas en chargeBlackBerry Secure Connect Plus. Les utilisateurs ne sont pas tenus d'octroyer des autorisations d'administrateur à BES12 Client. Travail et Personnel - Confidentialité de l'utilisateur (Android for Work Premium) Ce type d'activation préserve la confidentialité des données personnelles, mais vous permet de gérer les données professionnelles à l'aide de commandes et de règles de stratégie informatique. Ce type d'activation crée un profil professionnel sur le terminal qui sépare les données professionnelles des données personnelles. Les données professionnelles et personnelles sont protégées à l'aide du cryptage et de l'authentification par mot de passe. Les utilisateurs ne sont pas tenus d'octroyer des autorisations d'administrateur à BES12 Client. Vous devez utiliser ce type d'activation si vous souhaitez prendre en charge BlackBerry Secure Connect Plus avec les caractéristiques du type d'activation Travail et Personnel - Confidentialité de l'utilisateur (Android for Work). Espace Travail uniquement (Android for Work) Si vous attribuez ce type d'activation à un utilisateur, vous devez également attribuer le modèle d'e-mail d'activation Espace Travail uniquement (Android for Work) à cet utilisateur. L'attribution de ce modèle permet de s'assurer que l'utilisateur reçoit le code d'activation Google nécessaire pendant le processus d'activation. Ce type d'activation vous permet de gérer le terminal dans son ensemble à l'aide de commandes et de règles de stratégie informatique. Ce type d'activation requiert que l'utilisateur restaure les réglages d'usine du terminal avant de procéder à l'activation. Le processus d'activation installe un profil de travail et aucun profil personnel. L'utilisateur doit créer un mot de passe pour accéder au terminal. Toutes les données du terminal sont protégées à l'aide du cryptage et d'une méthode d'authentification de type mot de passe. Ce type d'activation ne prend pas en chargeBlackBerry Secure Connect Plus. Lors de l'activation, le terminal installe automatiquement BES12 Client et lui accorde des autorisations d'administrateur. Les utilisateurs ne peuvent pas révoquer les autorisations d'administrateur ni désinstaller l'application. 247 Activation des terminaux Type d'activation Description Espace Travail uniquement (Android for Work - Premium) Si vous attribuez ce type d'activation à un utilisateur, vous devez également attribuer le modèle d'e-mail d'activation Espace Travail uniquement (Android for Work) à cet utilisateur. L'attribution de ce modèle permet de s'assurer que l'utilisateur reçoit le code d'activation Google nécessaire pendant le processus d'activation. Ce type d'activation vous permet de gérer le terminal dans son ensemble à l'aide de commandes et de règles de stratégie informatique. Ce type d'activation requiert que l'utilisateur restaure les réglages d'usine du terminal avant de procéder à l'activation. Le processus d'activation installe un profil de travail et aucun profil personnel. L'utilisateur doit créer un mot de passe pour accéder au terminal. Toutes les données du terminal sont protégées à l'aide du cryptage et d'une méthode d'authentification de type mot de passe. Lors de l'activation, le terminal installe automatiquement BES12 Client et lui accorde des autorisations d'administrateur. Les utilisateurs ne peuvent pas révoquer les autorisations d'administrateur ni désinstaller l'application. Vous devez utiliser ce type d'activation si vous souhaitez prendre en charge BlackBerry Secure Connect Plus avec les caractéristiques du type d'activation Espace Travail uniquement (Android for Work). terminaux Samsung KNOX Workspace Les types d'activation suivants s'appliquent uniquement aux terminaux Samsung prenant en charge KNOX Workspace. Type d'activation Description Travail et Personnel - Contrôle total (Samsung KNOX) Ce type d'activation vous permet de gérer le terminal dans son ensemble à l'aide de commandes, de KNOX MDM et de règles de stratégie informatique KNOX Workspace. Ce type d'activation crée un espace Travail séparé sur le terminal et l'utilisateur doit créer un mot de passe pour accéder à cet espace Travail. Les données de l'espace Travail sont protégées à l'aide du cryptage et d'une méthode d'authentification de type mot de passe, PIN, schéma ou empreinte digitale. Lors de l'activation, les utilisateurs doivent octroyer les autorisations d'administrateur à BES12 Client. Travail et Personnel - Confidentialité de l'utilisateur - (Samsung KNOX) Ce type d'activation préserve la confidentialité des données personnelles, mais vous permet de gérer les données professionnelles à l'aide de commandes et de règles de stratégie informatique. Ce type d'activation ne prend pas en charge les règles de stratégie informatique KNOX MDM. Ce type d'activation crée un espace Travail séparé sur le terminal et l'utilisateur doit créer un mot de passe pour accéder à cet espace Travail. Les données de l'espace Travail sont protégées à l'aide du cryptage et d'une méthode d'authentification de type mot de passe, PIN, 248 Activation des terminaux Type d'activation Description schéma ou empreinte digitale. L'utilisateur doit également créer un mot de passe de verrouillage de l'écran pour protéger l'ensemble du terminal et ne sera pas en mesure d'utiliser le mode de débogage USB. Lors de l'activation, les utilisateurs doivent octroyer les autorisations d'administrateur à BES12 Client. Espace Travail uniquement - (Samsung KNOX) Ce type d'activation vous permet de gérer le terminal dans son ensemble à l'aide de commandes, de KNOX MDM et de règles de stratégie informatique KNOX Workspace. Ce type d'activation supprime l'espace Personnel et installe un espace Travail. L'utilisateur doit créer un mot de passe pour accéder au terminal. Toutes les données du terminal sont protégées à l'aide du cryptage et d'une méthode d'authentification de type mot de passe, PIN, schéma ou empreinte digitale. Lors de l'activation, les utilisateurs doivent octroyer les autorisations d'administrateur à BES12 Client. Types d'activation : terminaux Windows Type d'activation Description Contrôles MDM Ce type d'activation fournit une gestion de base des terminaux à l'aide des commandes de terminaux mises à disposition parWindows 10, Windows 10 Mobile, et Windows Phone. Il n'existe pas d'espace Travail séparé installé sur le terminal, et aucune sécurité ajoutée pour les données professionnelles. Vous pouvez contrôler le terminal à l'aide de commandes et de stratégies informatiques. Les utilisateurs de Windows Phone doivent installer BES12 Client pour activer un terminal. Les utilisateurs Windows 10 et Windows 10 Mobile activent des terminaux grâce à l'application d'accès de travail Windows 10. Créer un profil d'activation 1. Sur la barre de menus, cliquez sur Stratégies et profils. 2. Cliquez sur 3. Saisissez le nom et la description du profil. 4. Dans le champ Nombre de terminaux qu'un utilisateur peut activer, spécifiez le nombre maximum de terminaux que l'utilisateur peut activer. 5. Dans la liste déroulante Propriété du terminal, effectuez l'une des actions suivantes : en regard d'Activation. 249 Activation des terminaux • Si certains utilisateurs activent des terminaux personnels et d'autres des terminaux professionnels, sélectionnez Non spécifié. • Si les utilisateurs activent généralement des terminaux professionnels, sélectionnez Professionnel. • Si les utilisateurs activent généralement des terminaux personnels, sélectionnez Personnel. 6. Vous pouvez également sélectionner un avis d'entreprise de la liste déroulante Attribuer un avis d'entreprise. Si vous affectez un avis d'entreprise, les utilisateurs activant des terminaux BlackBerry 10, Windows 10, iOS ou OS X doivent accepter l'avis pour terminer le processus d'activation. 7. Dans la section Types de terminaux que les utilisateurs peuvent activer, sélectionnez les types de terminaux, selon les besoins. Les types de terminaux que vous ne sélectionnez pas ne sont pas inclus dans le profil d'activation et les utilisateurs ne peuvent pas activer ces terminaux. 8. Procédez comme suit pour chaque type de terminal inclus dans le profil d'activation : 9. • Cliquez sur l'onglet correspondant au type de terminal. • Dans l'onglet Windows, vous pouvez sélectionner l'une des options de facteur de forme ou les deux, et choisir d'autoriser ou d'interdire ces facteurs de forme dans la liste déroulante Restrictions relatives au modèle de terminal. • Dans la liste déroulante Limites de modèles de terminaux, sélectionnez si vous souhaitez autoriser ou restreindre les terminaux spécifiés ou n'appliquer aucune restriction. Cliquez sur Modifier pour sélectionner les terminaux que vous souhaitez restreindre ou autoriser, puis cliquez sur Enregistrer. • Dans la liste déroulante Version autorisée, sélectionnez la version minimale autorisée. • Dans la section Type d'activation, sélectionnez un type d'activation. ◦ Pour les terminaux Android, vous pouvez sélectionner plusieurs types d'activation et les classer selon les besoins de votre entreprise. ◦ Pour les terminaux iOS, si vous sélectionnez le type d'activation Travail et Personnel - Confidentialité de l'utilisateur ou Confidentialité de l'utilisateur et que vous voulez activer le modèle de licence SIM, vous devez sélectionner l'option Autoriser l'accès à la carte SIM et aux informations matérielles du terminal pour activer le modèle de licence SIM. Cliquez sur Ajouter. À la fin: Si nécessaire, classez les profils. Informations connexes Attribuer un profil à un groupe d'utilisateurs, à la page 202 Attribuer un profil à un compte d'utilisateur, à la page 222 250 Activation des terminaux Définir un mot de passe d'activation et envoyer un e-mail d'activation Vous pouvez définir un mot de passe d'activation et envoyer à l'utilisateur un e-mail d'activation avec les informations nécessaires à l'activation d'un ou de plusieurs terminaux. Avant de commencer: Créer un modèle d'e-mail d'activation. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux gérés. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Dans le volet Détails de l'activation, cliquez sur Définir le mot de passe d'activation. 5. Dans la fenêtre Définir le mot de passe d'activation du terminal, exécutez l'une des tâches suivantes : Tâche Étapes Générer automatiquement un mot de passe d'activation pour l'utilisateur et envoyer un e-mail d'activation 1. Sélectionnez l'option Générer automatiquement le mot de passe d'activation du terminal et envoyer un e-mail contenant des instructions d'activation. 2. Dans le champ Expiration de la période d'activation, spécifiez le nombre de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal avant que son mot de passe d'activation expire. 3. Dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à utiliser pour l'e-mail d'activation. 1. Sélectionnez l'option Définir le mot de passe d'activation du terminal. 2. Saisissez un mot de passe d'activation. 3. Dans le champ Expiration de la période d'activation, spécifiez le nombre de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal avant que son mot de passe d'activation expire. 4. Effectuez l'une des opérations suivantes : Définir un mot de passe d'activation pour l'utilisateur et, éventuellement, envoyer un e-mail d'activation a Pour envoyer des instructions d'activation à l'utilisateur, dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à utiliser pour l'e-mail d'activation. b Si vous ne souhaitez pas envoyer les instructions d'activation à l'utilisateur, décochez la case à cocher Envoyer un e-mail contenant 251 Activation des terminaux Tâche Étapes le mot de passe d'activation et les instructions. Vous devez communiquer le mot de passe d'activation à l'utilisateur. 6. Cliquez sur Enregistrer. Envoyer un e-mail d'activation à plusieurs utilisateurs Vous pouvez envoyer des e-mails d'activation à plusieurs utilisateurs à la fois. Lorsque vous envoyez un e-mail d'activation à plusieurs utilisateurs, le mot de passe d'activation est généré automatiquement. Si vous souhaitez définir vous-même le mot de passe d'activation, reportez-vous à Définir un mot de passe d'activation et envoyer un e-mail d'activation. Avant de commencer: Créer un modèle d'e-mail d'activation. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux gérés. 2. Cochez la case pour chaque utilisateur auquel vous souhaitez envoyer un e-mail d'activation. 3. Cliquez sur 4. Sélectionnez l'une des options suivantes : . Option Description Générer le mot de passe d'activation d'un terminal 1. Sélectionnez l'option Générer automatiquement le mot de passe d'activation du terminal et envoyer un e-mail contenant des instructions d'activation. 2. Dans le champ Expiration de la période d'activation, spécifiez le nombre de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal avant que son mot de passe d'activation expire. 3. Dans la liste déroulante Modèle d'e-mail d'activation, cliquez sur un modèle à utiliser pour l'e-mail d'activation. 1. Sélectionnez l'option Générer automatiquement la clé d'accès Good Dynamics et envoyer un e-mail d'instructions. 2. Dans la liste déroulante Nombre de clés d'accès à générer, sélectionnez le nombre de clés d'accès que vous souhaitez créer pour l'utilisateur. Générer une clé d'accès Good Dynamics 5. Cliquez sur Envoyer. 252 Activation des terminaux Autoriser les utilisateurs à définir des mots de passe d'activation BES12 Self-Service Vous pouvez autoriser les utilisateurs de terminaux BlackBerry 10, iOS, Android et Windows à créer leurs propres mots de passe d'activation à l'aide de BES12 Self-Service. Remarque: Les utilisateurs de terminaux exécutant BlackBerry OS (version 5.0 à 7.1) peuvent créer des mots de passe d'activation à l'aide de BlackBerry Web Desktop Manager. 1. Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux > Self-Service. 2. Vérifiez que l'option Autoriser les utilisateurs à accéder à la console en libre-service est sélectionnée. 3. Sélectionnez Autoriser les utilisateurs à activer des terminaux dans la console en libre-service et procédez comme suit : 4. a. Spécifiez le nombre de minutes, d'heures ou de jours pendant lesquels l'utilisateur est autorisé à activer un terminal avant que son mot de passe d'activation expire. b. Spécifiez le nombre minimum de caractères requis dans le mot de passe d'activation. c. Dans la liste déroulante Complexité minimale des mots de passe, sélectionnez le niveau de complexité requis pour les mots de passe d'activation. Cliquez sur Enregistrer. Informations connexes À propos de BES12 Self-Service, à la page 21 Activer un terminal BlackBerry 10 Envoyez les instructions d'activation suivantes à l'utilisateur du terminal. 1. Sur le terminal, accédez à Paramètres. 2. Sélectionnez Comptes. 3. Si vous disposez déjà de comptes sur ce terminal, sélectionnez Ajouter un compte. Sinon, passez à l'étape 4. 4. Sélectionnez Messagerie, Calendrier et Contacts. 5. Saisissez votre adresse électronique professionnelle et sélectionnez Suivant. 6. Dans le champ Mot de passe, saisissez le mot de passe d'activation que vous avez reçu. Sélectionnez Suivant. 7. Si vous recevez un avertissement vous indiquant que votre terminal n'a pas pu rechercher les informations de connexion, procédez comme suit : a. Sélectionnez Avancé. 253 Activation des terminaux 8. b. Sélectionnez Compte professionnel. c. Dans le champ Adresse du serveur, saisissez l'adresse du serveur. Vous trouverez l'adresse du serveur dans l'e-mail d'activation que vous avez reçu ou dans BES12 Self-Service. d. Sélectionnez Terminé. Suivez les instructions à l'écran pour procéder à l'activation. À la fin: Pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes. • Sur le terminal, accédez à BlackBerry Hub et vérifiez que l'adresse électronique est présente. Accédez au Calendrier et vérifiez que les rendez-vous sont présents. • Dans BES12 Self-Service, vérifiez que votre terminal est répertorié en tant que terminal activé. Après l'activation du terminal, la mise à jour de l'état peut prendre jusqu'à deux minutes. Activer un terminal iOS Remarque: Ces étapes s'appliquent à un terminal doté du type d'activation Contrôles MDM. Les types d'activation qui installent ou activent un espace Travail sur le terminal peuvent nécessiter des étapes supplémentaires. Envoyez les instructions d'activation suivantes à l'utilisateur du terminal. 1. Sur le terminal, installez l'application Good for BES12. Vous pouvez télécharger l'application Good for BES12 sur l'App Store. 2. Sur le terminal, sélectionnez BES12. 3. Lisez l'accord de licence et sélectionnez J'accepte. 4. Saisissez votre adresse électronique professionnelle et sélectionnez Atteindre. 5. Si nécessaire, saisissez l'adresse du serveur, puis sélectionnez Atteindre. Vous trouverez l'adresse du serveur dans l'email d'activation que vous avez reçu ou dans BES12 Self-Service. 6. Vérifiez que les détails du certificat affichés sur le terminal sont exacts et sélectionnez Accepter. Si votre administrateur vous a envoyé les détails du certificat séparément, vous pouvez comparer les informations affichées avec celles que vous avez reçues. 7. Saisissez votre mot de passe d'activation et sélectionnez Activer mon terminal. 8. Sélectionnez OK pour installer le certificat requis. 9. Suivez les instructions à l'écran pour procéder à l'installation. 10. Si vous êtes invité à saisir le mot de passe de votre compte de messagerie ou le mot de passe de votre terminal, suivez les instructions à l'écran. À la fin: pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes. 254 Activation des terminaux • Sur le terminal, ouvrez l'application Good for BES12 et sélectionnez À propos de. Dans les sections Terminal activé et État de conformité, vérifiez que les informations concernant le terminal et l'horodatage d'activation sont présentes. • Dans BES12 Self-Service, vérifiez que votre terminal est répertorié en tant que terminal activé. Après l'activation du terminal, la mise à jour de l'état peut prendre jusqu'à deux minutes. Activer un terminal OS X Envoyez les instructions d'activation suivantes à l'utilisateur du terminal. Avant de commencer: Vous devez disposer des informations de connexion BES12 Self-Service suivantes : • Adresse Web de BES12 Self-Service • Nom d'utilisateur et mot de passe • Nom de domaine 1. Sur le terminal à activer, connectez-vous à BES12 Self-Service à l'aide des informations de connexion que vous avez reçues de votre administrateur. 2. Si des terminaux sont déjà indiqués, cliquez sur Activer un terminal. 3. Dans le menu déroulant Terminal, cliquez sur OS X. 4. Regardez le didacticiel d'activation. 5. Cliquez sur Envoyer. 6. Suivez les instructions pour installer les profils requis et terminer l'activation du terminal. Une fois l'activation terminée, votre terminal s'affiche dans BES12 Self-Service. Activer un terminal Android Envoyez les instructions d'activation suivantes à l'utilisateur du terminal. Remarque: ces étapes s'appliquent à un terminal auquel a été attribué le type d'activation Contrôles MDM. Les types d'activation qui installent ou activent un espace Travail sur le terminal peuvent nécessiter des étapes supplémentaires. 1. Sur le terminal, installez BES12 Client. Vous pouvez télécharger BES12 Client depuis l'Google Play. 2. Sur le terminal, sélectionnez BES12. 3. Lisez l'accord de licence et sélectionnez J'accepte. 4. Saisissez votre adresse électronique professionnelle et sélectionnez Suivant. 5. Si nécessaire, saisissez l'adresse du serveur, puis sélectionnez Suivant. Vous trouverez l'adresse du serveur dans l'e-mail d'activation que vous avez reçu ou dans BES12 Self-Service. 255 Activation des terminaux 6. Vérifiez que les détails du certificat affichés sur le terminal sont exacts et sélectionnez Accepter. Si votre administrateur vous a envoyé les détails du certificat séparément, vous pouvez comparer les informations affichées avec celles que vous avez reçues. 7. Saisissez votre mot de passe d'activation et sélectionnez Activer mon terminal. 8. Sélectionnez Suivant. 9. Sélectionnez Activer. À la fin: Pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes. • Sur le terminal, ouvrez BES12 Client et sélectionnez À propos de. Dans la section Terminal activé, assurez-vous de la présence des informations du terminal et de l'heure et de la date d'activation. • Dans BES12 Self-Service, vérifiez que votre terminal est répertorié en tant que terminal activé. Après l'activation du terminal, la mise à jour de l'état peut prendre jusqu'à deux minutes. Activer un terminal Windows Phone Envoyez les instructions d'activation suivantes à l'utilisateur du terminal. 1. Sur le terminal, installez BES12 Client. Vous pouvez télécharger BES12 Client depuis Windows Phone Store. 2. Sur le terminal, accédez à la liste des applications et sélectionnez BES12. 3. Lisez l'accord de licence et sélectionnez J'accepte. 4. Saisissez votre adresse électronique professionnelle et sélectionnez Suivant. 5. Si nécessaire, saisissez l'adresse du serveur, puis sélectionnez Suivant. Vous trouverez l'adresse du serveur dans l'e-mail d'activation que vous avez reçu ou dans BES12 Self-Service. 6. Saisissez le mot de passe d'activation que vous avez reçu dans l'e-mail d'activation ou que vous avez défini dans BES12 Self-Service et sélectionnez Activer mon terminal. 7. Sélectionnez Copier et continuer pour copier l'adresse du serveur et accéder à l'application Windows Phone Workplace. 8. Sélectionnez Ajouter un compte. 9. Saisissez votre adresse électronique et sélectionnez Connexion. 10. Positionnez votre curseur dans le champ Serveur et sélectionnez l'icône Coller. 11. Sélectionnez Connexion. 12. Si vous recevez un avertissement au sujet d'un certificat, sélectionnez Continuer. 13. Ne saisissez rien dans les champs Nom d'utilisateur et Domaine. Dans le champ Mot de passe, saisissez le mot de passe d'activation que vous avez reçu dans l'e-mail d'activation ou que vous avez défini dans BES12 Self-Service. Sélectionnez Connexion. 14. Sélectionnez Terminé. 256 Activation des terminaux 15. Sélectionnez le bouton Retour de votre Windows Phone pour revenir à BES12 Client. 16. L'activation est automatique. À la fin: Pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes. • Sur le terminal, ouvrez BES12 Client, sélectionnez l'icône Menu en bas à droite (trois points horizontaux) et sélectionnez À propos de. Dans la section Terminal activé, assurez-vous de la présence des informations du terminal et de l'heure et de la date d'activation. • Dans BES12 Self-Service, vérifiez que votre terminal est répertorié en tant que terminal activé. Après l'activation du terminal, la mise à jour de l'état peut prendre jusqu'à deux minutes. Activer un terminal Windows 10 Mobile Vous pouvez regarder une vidéo du processus d'activation de Windows 10 ici. Envoyez les instructions d'activation suivantes à l'utilisateur du terminal. 1. Pour activer votre terminal Windows 10 Mobile sur BES12, vous devez installer un certificat sur votre terminal. Vous trouverez un lien vers le certificat dans l'e-mail d'activation que vous avez reçu. Si vous n'avez pas reçu de lien vers le certificat, contactez votre administrateur pour obtenir de l'aide. À l'aide de l'application Microsoft Outlook ou de votre service de courrier électronique en ligne dans le navigateur, ouvrez votre boite de réception. 2. Dans votre boite de réception, sélectionnez le message d'activation que vous avez reçu de votre administrateur. 3. Sélectionnez le lien de l'adresse du serveur de certificats. 4. Sélectionnez le certificat. 5. Sélectionnez Installer. 6. Sélectionnez OK. 7. Sélectionnez le bouton Windows pour retourner au menu de démarrage. 8. Faites glisser l'écran vers la gauche pour ouvrir le menu Applications. 9. Dans le menu Applications, sélectionnez Paramètres. 10. Sélectionnez Comptes. 11. Sélectionnez Accès professionnel. 12. Sélectionnez Se connecter. 13. Dans le champ Adresse e-mail, saisissez votre adresse électronique professionnelle et sélectionnez Entrée. 14. Si vous êtes invité à préciser l'adresse de votre serveur, dans le champ Serveur, entrez l'adresse de votre serveur ou l'URL d'activation et sélectionnez le bouton flèche. Vous trouverez cette adresse ou l'URL d'activation dans l'e-mail d'activation que vous avez reçu de votre administrateur ou dans BES12 Self-Service lors de la définition de votre mot de passe d'activation. 257 Activation des terminaux 15. Dans le champ Mot de passe d'activation, saisissez votre mot de passe d'activation, puis sélectionnez Continuer. Vous trouverez votre mot de passe d'activation dans l'e-mail d'activation que vous avez reçu de votre administrateur ou vous pouvez définir votre propre mot de passe d'activation dans BES12 Self-Service. 16. Sélectionnez Terminé. 17. Le processus d'activation est terminé. À la fin: pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes. • Sur le terminal, ouvrez l'application Accès professionnel et vérifiez que votre compte est répertorié. Sélectionnez votre compte, puis Informations. Vérifier les informations sur l'état de la synchronisation pour vous assurer que votre terminal est connecté à BES12. • Dans BES12 Self-Service, vérifiez que votre terminal est répertorié en tant que terminal activé. Après l'activation du terminal, la mise à jour de l'état peut prendre jusqu'à deux minutes. Activer un terminal Windows 10 Remarque: Si vous souhaitez gérer des terminaux Windows 10 à l'aide de MDM, les terminaux ne peuvent pas être gérés par Microsoft System Center Configuration Manager. Vous pouvez regarder une vidéo du processus d'activation de Windows 10 ici. Envoyez les instructions d'activation suivantes à l'utilisateur du terminal. 1. Pour activer votre tablette ou ordinateur Windows 10 sur BES12, vous devez installer un certificat. Vous trouverez un lien vers le certificat dans l'e-mail d'activation que vous avez reçu. Si vous n'avez pas reçu de lien vers le certificat, contactez votre administrateur pour obtenir de l'aide. À l'aide de l'application Microsoft Outlook ou de votre service de courrier électronique en ligne dans le navigateur, ouvrez votre boite de réception. 2. Dans votre boite de réception, sélectionnez le message d'activation que vous avez reçu de votre administrateur. 3. Sélectionnez le lien de l'adresse du serveur de certificats. 4. Dans la notification de téléchargement du certificat, sélectionnez Ouvrir. 5. Sélectionnez Installer le certificat. 6. Sélectionnez l'option Utilisateur actuel. Sélectionnez Suivant. 7. Sélectionnez l'option Placer tous les certificats dans le magasin suivant. Sélectionnez Parcourir. 8. Sélectionnez Autorités de certification racine approuvées. Sélectionnez OK. 9. Sélectionnez Suivant. 10. Sélectionnez Terminer. 11. Sélectionnez Oui. 12. Sélectionnez OK. 258 Activation des terminaux 13. Sélectionnez le bouton Démarrer. 14. Sélectionnez Paramètres. 15. Sélectionnez Comptes. 16. Sélectionnez Accès professionnel. 17. Sélectionnez Se connecter. 18. Dans le champ Adresse électronique, saisissez votre adresse électronique. Sélectionnez Continuer. 19. Si vous êtes invité à préciser l'adresse de votre serveur, dans le champ Serveur, entrez l'adresse de votre serveur ou l'URL d'activation et sélectionnez Continuer. Vous trouverez cette adresse ou l'URL d'activation dans l'e-mail d'activation que vous avez reçu de votre administrateur ou dans BES12 Self-Service lors de la définition de votre mot de passe d'activation. 20. Dans le champ Mot de passe d'activation, saisissez votre mot de passe d'activation, puis sélectionnez Continuer. Vous trouverez votre mot de passe d'activation dans l'e-mail d'activation que vous avez reçu de votre administrateur ou vous pouvez définir votre propre mot de passe d'activation dans BES12 Self-Service. 21. Sélectionnez Terminé. 22. Le processus d'activation est terminé. À la fin: pour vérifier que le processus d'activation a réussi, effectuez l'une des opérations suivantes. • Sur le terminal, ouvrez l'application Accès professionnel et vérifiez que votre compte est répertorié. Sélectionnez votre compte, puis Informations. Vérifier les informations sur l'état de la synchronisation pour vous assurer que votre terminal est connecté à BES12. • Dans BES12 Self-Service, vérifiez que votre terminal est répertorié en tant que terminal activé. Après l'activation du terminal, la mise à jour de l'état peut prendre jusqu'à deux minutes. Activation de plusieurs terminaux à l'aide de KNOX Mobile Enrollment Samsung KNOX Mobile Enrollment permet d'activer un grand nombre de terminaux dans BES12 en une seule fois. Pour plus d'informations, rendez-vous sur https://www.samsungknox.com/en/products/knox-mobile-enrollment. Avant de commencer: Vous devez acheter des terminaux auprès de l'un des revendeurs suivants : • Un revendeur agréé • Un revendeur qui accepte de partager les IMEI des terminaux directement avec Samsung 1. Dans la barre de menus, cliquez sur Paramètres > Intégration externe. 2. Cliquez sur KNOX Mobile Enrollment. 3. Suivez les instructions qui s'affichent à l'écran. 259 Activation des terminaux Conseils pour résoudre les problèmes relatifs à l'activation des terminaux Lorsque vous résolvez des problèmes liés à l'activation d'un type de terminal, vérifiez systématiquement ce qui suit : • Vérifiez que BES12 prend en charge ce type de terminal. Pour plus d'informations sur les types de terminaux pris en charge, reportez-vous à la matrice de compatibilité. • Assurez-vous de la disponibilité de licences pour le type de terminal que l'utilisateur active et vérifiez le type d'activation attribué à l'utilisateur. Pour plus d'informations,consultez le contenu relatif aux licences. • Vérifiez la connectivité réseau sur le terminal. ◦ Vérifiez que le réseau mobile ou Wi-Fi est actif et dispose d'une couverture suffisante. ◦ Si l'utilisateur doit configurer manuellement un profil VPN ou Wi-Fi professionnel pour accéder au contenu situé derrière le pare-feu de votre entreprise, assurez-vous que les profils de l'utilisateur sont correctement configurés sur le terminal. ◦ Si vous utilisez un Wi-Fi professionnel, assurez-vous que chemin réseau du terminal est disponible. Pour plus d'informations sur la configuration des pare-feu réseau avec BES12, rendez-vous sur http:// support.blackberry.com/kb pour consulter l'article 36470. • Assurez-vous que le profil d'activation attribué à l'utilisateur prend en charge le type de terminal en cours d'activation. • Collectez les journaux du terminal : ◦ Pour plus d'informations sur la récupération des fichiers journaux des terminaux BlackBerry 10, rendezvous sur http://support.blackberry.com/kb pour lire l'article 26038. Remarque: les fichiers journaux BlackBerry 10 sont cryptés. Pour utiliser les fichiers journaux BlackBerry 10 à des fins de résolution des problèmes, vous devez disposer d'un ticket ouvert avec BlackBerry Technical Support Services. Seuls les agents de l'assistance peuvent décrypter les fichiers journaux. ◦ Pour plus d'informations sur la récupération des fichiers journaux des terminaux iOS, rendez-vous sur http:// support.blackberry.com/kb pour lire l'article 36986. ◦ Pour plus d'informations sur la récupération des fichiers journaux des terminaux Android, rendez-vous sur http://support.blackberry.com/kb pour lire l'article 32516. ◦ Pour plus d'informations sur la récupération des journaux des terminaux Windows Phone, rendez-vous sur http://support.blackberry.com/kb pour lire l'article 36984. 260 Activation des terminaux KNOX Workspace et Android for Work Lorsque vous résolvez des problèmes liés à l'activation des terminaux Samsung utilisant Samsung KNOX Workspace, vérifiez ce qui suit : • Vérifiez que le terminal prend en charge KNOX Workspace. Pour plus d'informations, rendez-vous sur https:// www.samsungknox.com/en/products/knox-supported-devices/knox-workspace pour lire Terminaux pris en charge Samsung KNOX. • Assurez-vous que le bit de garantie n'a pas été déclenché. Pour plus d'informations, rendez-vous sur https:// www.samsungknox.com/en/faq/what-knox-warranty-bit-and-how-it-triggered pour lire Qu'est-ce qu'un bit de garantie KNOX et comment est-il déclenché ? • Assurez-vous que la version du conteneur KNOX est prise en charge. KNOX Workspace requiert KNOX Container 2.0 ou version ultérieure. Pour plus d'informations sur les versions de Samsung KNOX prises en charge, rendez-vous sur https://www.samsungknox.com/knoxportal/files/GalaxyDevicesSupportingKNOX.pdf. Lorsque vous résolvez des problèmes liés à l'activation des terminaux Android for Work, vérifiez ce qui suit : • Vérifiez que le terminal prend en charge Android for Work. Pour plus d'informations, rendez-vous sur https:// support.google.com/work/android/answer/6174145 pour lire l'article 6174145. • Assurez-vous de la disponibilité d'une licence et vérifiez que le type d'activation est défini sur Travail et Personnel Confidentialité de l'utilisateur (Android for Work). • Pour utiliser le type d'activation Travail et Personnel - Confidentialité de l'utilisateur (Android for Work), les terminaux doivent exécuter Android OS version 5.1 ou version ultérieure. • Assurez-vous que le compte d'utilisateur de BES12 dispose de la même adresse électronique que celle du domaine Google. Si ces adresses électroniques ne correspondent pas, le terminal affichera l'erreur suivante : Impossible d'activer le terminal - Type d'activation non pris en charge. Dans le fichier journal Core, recherchez ce qui suit : ◦ ◦ ERROR AfW: Could not find user in Google domain. Aborting user creation and activation. ERROR job marked for quarantine due to: Unable to activate device Unsupported activation type Impossible de terminer l'activation du terminal en l'absence de licences suffisantes sur le serveur. Pour obtenir de l'aide, contactez votre administrateur. Description Cette erreur s'affiche lors de l'activation du terminal si les licences ne sont pas disponibles ou si elles ont expiré. 261 Activation des terminaux Solution possible Dans BES12, procédez comme suit : • Vérifier que des licences sont disponibles à des fins d'activation. • Si nécessaire, activez les licences ou achetez des licences supplémentaires. Pour plus d'informations, reportez-vous au contenu relatif à la gestion des licences. Vérifiez votre nom d'utilisateur et votre mot de passe, puis réessayez Description Cette erreur s'affiche lors de l'activation d'un terminal si l'utilisateur a saisi un nom d'utilisateur ou un mot de passe erroné, voire les deux. Solution possible Saisissez le nom d'utilisateur et le mot de passe qui conviennent. Impossible d'installer le profil. Le certificat AutoMDMCert.pfx n'a pas pu être importé. Description Cette erreur s'affiche lors de l'activation d'un terminal iOS s'il existe déjà un profil sur le terminal. Solution possible Accédez à Paramètres > Général > Profils sur le terminal et vérifiez qu'un profil existe déjà. Supprimez le profil et procédez à une nouvelle activation. Si le problème persiste, vous devrez peut-être réinitialiser le terminal car il est possible que des données aient été mises en cache. 262 Activation des terminaux Erreur 3007 : le serveur n'est pas disponible Description Cette erreur s'affiche sur un terminal iOS pendant l'activation si le certificat utilisé par BES12 pour signer le profil MDM envoyé aux terminaux iOS n'est pas approuvé par le terminal. L'utilisateur est invité à approuver ce certificat lorsqu'il active le terminal. Solution possible Installez le certificat racine pour l'autorité de certification ayant émis le certificat qui utilise BES12 pour signer le profil MDM envoyé au terminal iOS. Pour plus d'informations sur ce certificat, reportez-vous au contenu relatif à la configuration. Impossible de contacter le serveur. Vérifiez la connectivité ou l'adresse du serveur Description Cette erreur peut s'afficher lors de l'activation du terminal pour les raisons suivantes : • Le nom d'utilisateur n'a pas été correctement saisi sur le terminal. • L'adresse du client pour l'activation du terminal n'a pas été correctement saisie sur le terminal. Remarque: uniquement nécessaire en cas de désactivation de l'inscription auprès de BlackBerry Infrastructure. • Aucun mot de passe d'activation n'a été défini ou le mot de passe a expiré. Solutions possibles Les solutions possibles sont les suivantes : • Vérifiez le nom d'utilisateur et le mot de passe. • Vérifiez l'adresse du client pour l'activation du terminal. • Définissez un nouveau mot de passe d'activation à l'aide de BES12 Self-Service. 263 Activation des terminaux Les activations des terminaux iOS ou OS X échouent en présence d'un certificat APNs non valide Cause possible Si vous n'êtes pas en mesure d'activer les terminaux iOS ou OS X, cela signifie peut-être que le certificat APNs n'est pas correctement installé. Solution possible Effectuez une ou plusieurs des opérations suivantes : • Dans la console de gestion, cliquez sur Paramètres > Intégration externe > Apple Push Notification sur la barre de menus. Vérifiez que le certificat APNs affiche l'état « Installé ». Si l'état est incorrect, tentez de réenregistrer le certificat APNs. • Pour tester la connexion entre BES12 et le serveur APNs, cliquez sur Certificat APNs test. • Si nécessaire, procurez-vous un nouveau fichier CSR signé auprès de BlackBerry, et demandez et enregistrez un nouveau certificat APNs. Les utilisateurs ne reçoivent pas d'e-mail d'activation Description Les utilisateurs ne reçoivent pas d'e-mail d'activation, même si tous les paramètres de BES12 sont corrects. Solution possible Si les utilisateurs ont recours à un serveur de messagerie tiers, les e-mails provenant de BES12 peuvent être marqués comme spams et finir dans le dossier des spams ou le dossier du courrier indésirable. Assurez-vous que les utilisateurs ont vérifié si l'e-mail d'activation se trouve dans leur dossier de spams ou leur dossier de courrier indésirable. Activation de terminaux iOS inscrits dans DEP Vous pouvez vous inscrire des terminaux iOS dans le Programme d'inscription des appareils Apple et leur attribuer des configurations d'inscription dans la console de BES12. Les configurations d'inscription comprennent des règles supplémentaires, comme « Activer le mode supervisé », attribuées aux terminaux lors de l'inscription MDM. 264 Activation des terminaux Lorsque les terminaux sont activés, BES12 envoie les stratégies informatiques et des profils que vous avez attribués aux utilisateurs. Si vous configurez un terminal pour qu'il utilise Secure Work Space ou si vous attribuez un profil de conformité à un utilisateur, cet utilisateur doit lancer l'application Good for BES12 après avoir activé son terminal. Conditions préalables : utilisation de l'application Good for BES12 avec les terminaux inscrits dans DEP • Ajoutez l'application Good for BES12 à la liste des applications. L'application Good for BES12 est disponible sur l'App Store. • Attribuez l'application Good for BES12 aux comptes d'utilisateur ou groupe d'utilisateurs. Pour plus d'informations sur l'ajout et l'attribution d'applications, reportez-vous à la section Applications. Étapes à suivre pour activer les terminaux inscrits dans DEP Pour activer des terminaux iOS inscrits dans le Programme d'inscription des appareils Apple, procédez comme suit : Étape Action Enregistrer les terminaux iOS dans DEP et les attribuer à un serveur MDM. Attribuez une configuration d'inscription aux terminaux iOS Enregistrer les terminaux iOS dans DEP et les attribuer à un serveur MDM Pour enregistrer les terminaux, vous devez saisir les numéros de série de ces terminaux dans le portail Apple DEP et attribuer les terminaux à un serveur MDM. Vous pouvez saisir les numéros de série comme suit : • Saisissez chaque numéro. • Sélectionnez le numéro de commande attribué par Apple aux terminaux lors de leur achat. • Téléchargez un fichier .csv contenant les numéros de série. Avant de commencer: configurez BES12 de manière à utiliser DEP avant d'enregistrer les terminaux iOS. 1. Dans le navigateur, saisissez deploy.apple.com. 2. Connectez-vous à votre compte du programme d'inscription des appareils. 265 Activation des terminaux 3. Cliquez sur Gérer les terminaux (Manage Devices). 4. Suivez les instructions à l'écran pour saisir les numéros de série des terminaux. 5. Attribuez les numéros de série à un serveur MDM. À la fin: attribuez des configurations d'inscription aux terminaux dans la console de gestion de BES12. Informations connexes Attribuez une configuration d'inscription aux terminaux iOS, à la page 266 Attribuez une configuration d'inscription aux terminaux iOS Si vous avez créé une configuration d'inscription et sélectionné Attribuer automatiquement tous les nouveaux terminaux à cette configuration, BES12 attribue automatiquement la configuration aux terminaux lorsque vous enregistrez ces terminaux dans le programme d'inscription des appareils. Si BES12 n'attribue pas automatiquement une configuration d'inscription, vous devez vous en charger. Avant de commencer: enregistrez les terminaux iOS dans DEP et attribuez-les à un serveur MDM. 1. Dans la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux DEP Apple. 2. Cochez les cases en regard des terminaux auxquels vous souhaitez attribuer une configuration d'inscription. 3. Cliquez sur 4. Dans la liste déroulante Configuration d'inscription, cliquez sur la configuration d'inscription que vous souhaitez attribuer. 5. Cliquez sur Attribuer. . À la fin: distribuez les terminaux iOS aux utilisateurs à des fins d'activation. Informations connexes Enregistrer les terminaux iOS dans DEP et les attribuer à un serveur MDM, à la page 265 Supprimer une configuration d'inscription attribuée aux terminaux iOS Si vous avez attribué une configuration d'inscription aux terminaux et que celle-ci ne leur a pas encore été attribuée, vous pouvez supprimer la configuration d'inscription des terminaux. 1. Dans la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux DEP Apple. 2. Cochez les cases en regard des terminaux desquels vous souhaitez supprimer une configuration d'inscription. 3. Cliquez sur 4. Cliquez sur Supprimer. . À la fin: Attribuez une configuration d'inscription aux terminaux iOS . 266 Activation des terminaux Informations connexes Attribuez une configuration d'inscription aux terminaux iOS, à la page 266 Gestion des configurations d'inscription Lorsque vous configurez BES12 pour utiliser le Programme d'inscription des appareils Apple, vous devez créer une configuration d'inscription. Vous pouvez ajouter plusieurs configurations d'inscription, supprimer des configurations d'inscription et modifier les paramètres des configurations d'inscription. Pour plus d'informations sur la configuration deBES12pour utiliser DEP,consultez le contenu relatif à la configuration. Ajouter une configuration d'inscription Vous pouvez créer autant de configurations d'inscription que nécessaires à votre entreprise. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, cliquez sur Intégration externe > Programme d’inscription des appareils Apple. 3. Dans la section Configurations d'inscription DEP, cliquez sur 4. Remplissez les champs et cochez les cases pour les éléments que vous voulez inclure dans la configuration d'inscription. . • Si vous sélectionnez Attribuer automatiquement tous les nouveaux terminaux à cette configuration, BES12 attribue automatiquement la configuration d'inscription aux terminaux iOS lorsque vous enregistrez les terminaux dans le Programme d'inscription des terminaux Apple. • Si vous avez déjà créé une configuration d'inscription avec Attribuer automatiquement tous les nouveaux terminaux à cette configuration et que cette configuration a été appliquée aux terminaux, BES12 n'attribue pas la nouvelle configuration d'inscription aux terminaux. • Seule une configuration d'inscription peut afficher le paramètre Attribuer automatiquement tous les nouveaux terminaux à cette configuration. Si vous créez une configuration d'inscription (par exemple, configuration_2) avec le paramètre sélectionné et que celui-ci a déjà été sélectionné pour une configuration existante (par exemple, configuration_1), BES12 désactive ce paramètre dans configuration_1. • Si vous souhaitez attribuer une nouvelle configuration d'inscription aux terminaux et que l'activation est en attente, vous pouvez supprimer la configuration d'inscription précédemment attribuée aux terminaux et attribuer la nouvelle configuration d'inscription. • Vous devez sélectionner Activer le mode supervisé ou Autoriser la suppression du profil MDM dans la section Configuration du terminal. 5. Cliquez sur Enregistrer. 6. Si vous avez sélectionné "Attribuer automatiquement de nouveaux terminaux à cette configuration", cliquez sur Oui. À la fin: attribuez la configuration d'inscription aux terminaux. Informations connexes Attribuez une configuration d'inscription aux terminaux iOS, à la page 266 267 Activation des terminaux Supprimer une configuration d'inscription attribuée aux terminaux Si vous supprimez une configuration d'inscription attribuée aux terminaux avant que celle-ci ne leur soit appliquée, BES12 supprime la configuration d'inscription attribuée aux terminaux. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, cliquez sur Intégration externe > Programme d’inscription des appareils Apple. 3. Dans la section Configurations d'inscription DEP, cliquez sur . 4. Cliquez sur Oui. À la fin: si BES12 supprime la configuration d'inscription des terminaux, attribuer une configuration d'inscription à ces terminaux. Informations connexes Attribuez une configuration d'inscription aux terminaux iOS, à la page 266 Modifier les paramètres d'une configuration d'inscription Si vous avez attribué une configuration d'inscription à des terminaux et que celle-ci ne leur est pas appliquée, BES12 met à jour à la configuration d'inscription attribuée aux terminaux lorsque vous enregistrez les modifications apportées à la configuration. 1. Sur la barre de menus, cliquez sur Paramètres. 2. Dans le volet de gauche, cliquez sur Intégration externe > Programme d’inscription des appareils Apple. 3. Dans la section Configurations d'inscription DEP, cliquez sur le nom de la configuration que vous souhaitez modifier. 4. Modifiez les paramètres. 5. Cliquez sur Enregistrer. Afficher les paramètres d'une configuration d'inscription attribuée à un terminal Si une configuration d'inscription est attribuée à un terminal iOS et que la configuration est en attente, vous pouvez afficher les paramètres de cette configuration d'inscription. 1. Dans la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux DEP Apple. 2. Dans la colonne Configuration d'inscription, cliquez sur le nom d'une configuration d'inscription. Afficher les détails de l'utilisateur pour un terminal activé Une fois le terminal correctement activé, vous pouvez afficher les détails associés à l'utilisateur, comme les groupes auxquels l'utilisateur est attribué. 268 Activation des terminaux 1. Dans la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux DEP Apple. 2. Dans la colonne Nom d'affichage, cliquez sur le nom d'un utilisateur. Utilisation du verrouillage d'activation sur les terminaux iOS La fonctionnalité de verrouillage d'activation sur les terminaux iOS version 7 ou ultérieure permet aux utilisateurs de protéger leurs terminaux lorsqu'ils sont perdus ou volés. Pour activer cette fonctionnalité, les utilisateurs se connectent à iCloud et activent la fonctionnalité Localiser mon iPhone. Lorsque le verrouillage d'activation est activé, l'utilisateur doit saisir son identifiant et mot de passe Apple avant de pouvoir désactiver Localiser mon iPhone et avant de pouvoir effacer ou réactiver le terminal. Si un terminal est supervisé à l'aide du programme d'inscription des appareils (DEP) de Apple ou du configurateur Apple et que ce terminal est activé sur BES12, vous pouvez contourner le verrouillage d'activation. Dans BES12, vous pouvez gérer la fonctionnalité de verrouillage d'activation sur les terminaux iOS version 7 ou ultérieure qui sont supervisés. Vous ne pouvez pas gérer la fonctionnalité de verrouillage d'activation sur les terminaux non supervisés. Lorsqu'un terminal est activé sur BES12, le verrouillage d'activation est désactivé par défaut. La fonctionnalité de verrouillage d'activation n'a aucun contrôle sur la fonctionnalité Localiser mon iPhone sur le terminal. Lorsque vous activez le verrouillage d'activation, BES12 stocke un code de contournement que vous pouvez utiliser pour désactiver le verrouillage, afin que le terminal puisse être effacé et réactivé sans l'identifiant et le mot de passe Apple de l'utilisateur. Activation du verrouillage d'activation Remarque: Lors de l'activation de la fonctionnalité de verrouillage d'activation, un léger délai peut se s'écouler entre BES12 et Apple. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Cliquez sur l'onglet du terminal. 5. Dans la fenêtre Gestion du terminal, cliquez sur Activer le verrouillage d'activation. À la fin: Pour afficher la liste des codes de contournement pour les terminaux, consultez Affichage du code de contournement du verrouillage d'activation Désactivation du verrouillage d'activation Remarque: Lors de la désactivation de la fonctionnalité de verrouillage d'activation, un léger délai peut se s'écouler entre BES12 et Apple. 269 Activation des terminaux 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Cliquez sur l'onglet du terminal. 5. Dans la fenêtre Gestion du terminal, sélectionnez Désactiver le verrouillage d'activation. Affichage du code de contournement du verrouillage d'activation Vous pouvez afficher le code de contournement du verrouillage d'activation et la date à laquelle ce code de contournement a été généré. 1. Sur la barre de menus, cliquez sur Utilisateurs > Verrouillage d'activation Apple. 2. Recherchez un terminal. 3. Dans les résultats de la recherche, cliquez sur le terminal. 4. Si nécessaire, faites défiler vers la droite jusqu'à l'écran principal pour afficher le code de contournement. 270 Commandes et contrôles de terminal Commandes et contrôles de terminal 13 BES12 permet d'envoyer des commandes aux terminaux via le réseau sans fil pour protéger les données de terminal. Vous pouvez également localiser des terminaux sur une carte et contrôler quels sont les terminaux qui peuvent accéder à Exchange ActiveSync. Utilisation des rapports du tableau de bord Le tableau de bord utilise des graphiques pour afficher les informations issus des services BES12 sur les utilisateurs et les terminaux de votre système. Vous pouvez utiliser le curseur pour pointer un élément spécifique du graphique et afficher des informations sur les utilisateurs ou les terminaux. Si vous avez besoin de plus d'informations, vous pouvez afficher un rapport à partir du graphique afin d'afficher des informations détaillées sur les utilisateurs ou les terminaux. Un rapport peut contenir un maximum de 2 000 enregistrements. Vous pouvez générer une version .csv d'un rapport et exporter le fichier à des fins d'analyse approfondie ou de génération de rapports. Pour ouvrir et gérer un compte d'utilisateur, vous pouvez cliquer sur l'utilisateur ou le terminal dans un rapport. Lorsque c'est chose faite, vous pouvez cliquer sur le bouton Précédent de la page (et non du navigateur) pour revenir au rapport. Le tableau suivant décrit les informations affichées par chaque rapport du tableau de bord. Rapport du tableau de bord Description Terminaux en itinérance et pas en itinérance Liste des utilisateurs dont les terminaux sont actuellement en itinérance Activations de terminaux Représentation dynamique des terminaux activés mensuellement dans votre organisation sur une période de 12 mois, en fonction du moment où les terminaux ont été initialement activés. Ces chiffres évoluent pour refléter les terminaux actuellement activés. Par exemple, si un terminal que vous avez activé en août est désactivé, le nombre de terminaux affichés en août est réduit d'un terminal. Top 5 des applications gérées installées Les cinq applications les plus couramment attribuées par votre organisation et installées sur les terminaux Terminaux par plate-forme Liste des terminaux de votre organisation, par plate-forme Conformité du terminal Liste des problèmes détectés sur les terminaux BlackBerry 10, iOS, Androidet Windows Phone de votre organisation 271 Commandes et contrôles de terminal Rapport du tableau de bord Description Terminaux par heure du dernier contact Nombre de jours passés depuis le dernier contact des terminaux avec le serveur Terminaux par opérateurs Liste des terminaux de votre organisation, par fournisseur de service Top 5 des modèles de terminaux Les cinq modèles de terminaux mobiles les plus couramment utilisés dans votre organisation Modifier le type de graphique Vous pouvez modifier le type de graphique utilisé pour les informations graphiques. Cliquez sur en regard d'un graphique et sélectionnez un type de graphique dans la liste déroulante. Exporter un rapport du tableau de bord au format .csv 1. Pour ouvrir un rapport, cliquez sur un graphique. 2. Pour trier les enregistrements en fonction de la colonne sélectionnée, cliquez sur un en-tête de colonne. 3. Cliquez sur Exporter et enregistrez le fichier. Envoi de commandes aux terminaux Vous pouvez envoyer différentes commandes via le réseau sans fil pour gérer les terminaux à distance. Par exemple, vous pouvez utiliser les commandes dans les situations suivantes : • Si un terminal a été égaré, vous pouvez envoyer une commande pour le verrouiller ou supprimer les données professionnelles qu'il contient. • Si vous souhaitez redistribuer un terminal à un autre utilisateur de votre organisation ou si un terminal a été perdu ou volé, vous pouvez envoyer une commande pour supprimer toutes les données qu'il contient. • Lorsqu'un employé quitte votre organisation, vous pouvez envoyer une commande au terminal personnel de l'utilisateur afin de supprimer uniquement les données professionnelles. • Si un utilisateur a oublié le mot de passe de son espace Travail, vous pouvez envoyer une commande pour réinitialiser ce mot de passe. La liste des commandes disponibles dépend du type de terminal et d'activation. 272 Commandes et contrôles de terminal Envoyer une commande à un terminal Vous pouvez envoyer différentes commandes à plusieurs terminaux sur le réseau sans fil. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Cliquez sur l'onglet du terminal. 5. Dans la fenêtre Gérer le terminal, sélectionnez la commande que vous souhaitez envoyer au terminal. Définir une heure d'expiration pour les commandes Lorsque vous envoyez la commande « Supprimer toutes les données du terminal » ou « Supprimer uniquement des données professionnelles » à un terminal, ce dernier doit être connecté à BES12 pour que la commande se termine. Si le terminal ne parvient pas à se connecter à BES12, la commande reste en attente et le terminal n'est pas supprimé de BES12 sauf si vous le supprimez manuellement. Sinon, vous pouvez configurer BES12 pour supprimer automatiquement les terminaux lorsque les commandes ne se terminent pas après le délai spécifié. 1. Dans la barre de menus, cliquez sur Paramètres > Paramètres généraux > Expiration de la commande de suppression. 2. Sélectionnez Retirer automatiquement le terminal si la commande ne s'est pas terminée pour la ou les commandes Expiration de la commande Supprimer toutes les données du terminal et Expiration de la commande Supprimer uniquement les données professionnelles. 3. Dans le champ Retirer le terminal après, saisissez le nombre de jours après lequel la commande expire et le terminal est automatiquement retiré de BES12. 4. Cliquez sur Enregistrer. Commandes Les tableaux suivants répertorient les commandes disponibles, organisées par type de terminal. BlackBerry 10 Commande Description Types d'activation Spécifier le mot de passe du terminal, verrouiller le terminal et définir un message Cette commande vous permet de créer un mot de passe de terminal et de définir un message sur l'écran d'accueil, puis de verrouiller le terminal. Vous devez créer un mot de passe conforme aux règles de mots de passe existantes. Lorsque • Travail et Personnel - Entreprise • Espace Travail uniquement • Travail et Personnel - Régulé 273 Commandes et contrôles de terminal Commande Types d'activation Description l'utilisateur déverrouille le terminal, celui-ci l'invite à accepter ou rejeter le nouveau mot de passe. Si une stratégie informatique requiert le même mot de passe pour le terminal et l'espace Travail, cette commande modifie également le mot de passe du Work Space. Supprimer toutes les données du terminal Cette commande supprime toutes les informations utilisateur et données des applications stockées sur le terminal, y compris les informations du Work Space. Elle rétablit les paramètres d'usine par défaut sur le terminal et supprime éventuellement le terminal de BES12. • Travail et Personnel - Entreprise • Espace Travail uniquement • Travail et Personnel - Régulé • Travail et Personnel - Entreprise • Travail et Personnel - Régulé • Travail et Personnel - Entreprise • Travail et Personnel - Régulé Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. Spécifier le mot de passe du Work Space et verrouiller Cette commande vous permet de créer un mot de passe pour l'espace Travail sur le terminal et de verrouiller l'espace Travail. Vous devez créer un mot de passe conforme aux règles de mots de passe existantes. Pour déverrouiller l'espace Travail, l'utilisateur doit saisir le nouveau mot de passe que vous créez. Si une stratégie informatique requiert le même mot de passe pour le terminal et l'espace Travail, cette commande modifie également le mot de passe du terminal. Supprimer uniquement les données professionnelles Cette commande supprime les données professionnelles, y compris les stratégies informatiques, profils, applications et certificats présents sur le terminal et supprime éventuellement le terminal de BES12. Si le terminal dispose d'un Work Space, les informations de ce Work Space sont supprimées et l'espace Travail est supprimé du terminal. Le compte d'utilisateur n'est pas supprimé lorsque vous envoyez cette commande. 274 Commandes et contrôles de terminal Commande Types d'activation Description Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. Mettre à jour les informations du terminal Cette commande envoie et reçoit des informations mises à jour sur le terminal. Par exemple, vous pouvez envoyer des règles de stratégie informatique ou des profils mis à jour à un terminal et recevoir des informations mises à jour sur un terminal comme la version du système d'exploitation ou le niveau de la batterie. • Travail et Personnel - Entreprise • Espace Travail uniquement • Travail et Personnel - Régulé Commande Description Types d'activation Supprimer toutes les données du terminal Cette commande supprime toutes les informations utilisateur et données des applications stockées sur le terminal, y compris les informations du Work Space. Elle rétablit les paramètres d'usine par défaut sur le terminal et supprime éventuellement le terminal de BES12. • Contrôles MDM • Travail et Personnel - Contrôle total • Contrôles MDM • Travail et Personnel - Contrôle total • Si le terminal dispose d'un Work Space, les informations de ce Work Space sont supprimées et l'espace Travail est supprimé • du terminal. Travail et Personnel Confidentialité de l'utilisateur iOS Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. Supprimer uniquement les données professionnelles Cette commande supprime les données professionnelles, y compris les stratégies informatiques, profils, applications et certificats présents sur le terminal et supprime éventuellement le terminal de BES12. 275 Confidentialité de l'utilisateur Commandes et contrôles de terminal Commande Types d'activation Description Le compte d'utilisateur n'est pas supprimé lorsque vous envoyez cette commande. Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. Verrouiller le terminal Cette commande verrouille un terminal. L'utilisateur doit saisir • le mot de passe du terminal existant pour déverrouiller le • terminal. Si un terminal est temporairement perdu, vous pouvez utiliser cette commande. Contrôles MDM Travail et Personnel - Contrôle total Lorsque vous envoyez cette commande, le terminal se verrouille uniquement s'il existe un mot de passe de terminal. Sinon, aucune action n'est prise sur le terminal. Déverrouiller le terminal et effacer le mot de passe Cette commande déverrouille le terminal et supprime le mot de passe existant. L'utilisateur est invité à créer un mot de passe. Vous pouvez utiliser cette commande si l'utilisateur oublie le mot de passe de son terminal. • Contrôles MDM • Travail et Personnel - Contrôle total Verrouiller l'espace Travail Cette commande verrouille l'espace Travail d'un terminal et l'utilisateur doit saisir le mot de passe de Work Space existant pour déverrouiller le terminal. • Travail et Personnel - Contrôle total • Travail et Personnel Confidentialité de l'utilisateur Réinitialiser le mot de Cette commande supprime le mot de passe actuel du Work • passe du Work Space Space du terminal. Lorsque l'utilisateur ouvre l'espace Travail, le terminal l'invite à définir un nouveau mot de passe de Work • Space. Travail et Personnel - Contrôle total Désactiver/Activer l'espace Travail Travail et Personnel Confidentialité de l'utilisateur Cette commande désactive ou active l'accès aux applications • du Work Space sur le terminal. Travail et Personnel - Contrôle total • Travail et Personnel Confidentialité de l'utilisateur 276 Commandes et contrôles de terminal Commande Description Types d'activation Mettre à jour les informations du terminal Cette commande envoie et reçoit des informations mises à jour sur le terminal. Par exemple, vous pouvez envoyer des règles de stratégie informatique ou des profils mis à jour à un terminal et recevoir des informations mises à jour sur un terminal comme la version du système d'exploitation ou le niveau de la batterie. • Contrôles MDM • Travail et Personnel - Contrôle total Commande Description Types d'activation Verrouiller le bureau Cette commande permet de définir un code PIN et de verrouiller le terminal. • Contrôles MDM Supprimer uniquement les données professionnelles Cette commande supprime les données professionnelles, y compris les stratégies informatiques, profils, applications et certificats présents sur le terminal et supprime éventuellement le terminal de BES12. • Contrôles MDM Supprimer toutes les données du terminal Cette commande permet de supprimer les informations • utilisateur et les données des applications stockées du terminal. Il rétablit les réglages d'usine par défaut du terminal, verrouille le terminal avec un code PIN que vous définissez et supprime éventuellement le terminal du BES12. Contrôles MDM Mettre à jour les données du bureau Cette commande envoie et reçoit des informations mises à jour sur le terminal. Par exemple, vous pouvez envoyer des règles de stratégie informatique ou des profils mis à jour à un terminal et recevoir des informations mises à jour sur un terminal comme la version du système d'exploitation ou le niveau de la batterie. • Contrôles MDM Commande Description Types d'activation Supprimer toutes les données du terminal Cette commande supprime toutes les informations utilisateur et données des applications stockées sur le terminal, y compris les informations du Work Space. Elle rétablit les paramètres d'usine par défaut sur le terminal et supprime éventuellement le terminal de BES12. • Contrôles MDM • Travail et Personnel - Contrôle total (Secure Work Space) OS X Android 277 Commandes et contrôles de terminal Commande Supprimer uniquement les données professionnelles Verrouiller le terminal Description Types d'activation Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. • Travail et Personnel - Contrôle total (Samsung KNOX) • Espace Travail uniquement (Samsung KNOX) • Contrôles MDM • Travail et Personnel Confidentialité de l'utilisateur (Secure Work Space) Si le terminal dispose d'un Work Space, les informations de ce • Work Space sont supprimées et l'espace Travail est supprimé du terminal. • Le compte d'utilisateur n'est pas supprimé lorsque vous envoyez cette commande. • Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient • pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données • professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. Travail et Personnel - Contrôle total (Secure Work Space) Cette commande supprime les données professionnelles, y compris les stratégies informatiques, profils, applications et certificats présents sur le terminal et supprime éventuellement le terminal de BES12. Espace Travail uniquement (Samsung KNOX) Travail et Personnel Confidentialité de l'utilisateur (Samsung KNOX) Travail et Personnel Confidentialité de l'utilisateur (Android for Work) • Travail et Personnel Confidentialité de l'utilisateur (Android for Work - Premium) • Confidentialité de l'utilisateur Cette commande verrouille un terminal. L'utilisateur doit saisir • le mot de passe du terminal existant pour déverrouiller le • terminal. Si un terminal est temporairement perdu, vous pouvez utiliser cette commande. • Lorsque vous envoyez cette commande, le terminal se verrouille uniquement s'il existe un mot de passe de terminal. • Sinon, aucune action n'est prise sur le terminal. 278 Travail et Personnel - Contrôle total (Samsung KNOX) Contrôles MDM Travail et Personnel - Contrôle total (Secure Work Space) Travail et Personnel - Contrôle total (Samsung KNOX) Travail et Personnel Confidentialité de l'utilisateur (Android for Work) Commandes et contrôles de terminal Commande Types d'activation Description • Travail et Personnel Confidentialité de l'utilisateur (Android for Work - Premium) • Contrôles MDM • Travail et Personnel - Contrôle total (Secure Work Space) • Travail et Personnel - Contrôle total (Samsung KNOX) • Travail et Personnel - Contrôle total (Secure Work Space) • Travail et Personnel Confidentialité de l'utilisateur (Secure Work Space) Réinitialiser le mot de Cette commande supprime le mot de passe actuel du Work • passe du Work Space Space du terminal. Lorsque l'utilisateur ouvre l'espace Travail, le terminal l'invite à définir un nouveau mot de passe de Work • Space. Travail et Personnel - Contrôle total (Secure Work Space) Déverrouiller le terminal et effacer le mot de passe Verrouiller l'espace Travail Désactiver/Activer l'espace Travail Cette commande déverrouille le terminal et supprime le mot de passe existant. L'utilisateur est invité à créer un mot de passe. Vous pouvez utiliser cette commande si l'utilisateur oublie le mot de passe de son terminal. Cette commande verrouille l'espace Travail d'un terminal et l'utilisateur doit saisir le mot de passe de Work Space existant pour déverrouiller le terminal. Travail et Personnel Confidentialité de l'utilisateur (Secure Work Space) • Travail et Personnel - Contrôle total (Samsung KNOX) • Travail et Personnel Confidentialité de l'utilisateur (Samsung KNOX) • Espace Travail uniquement (Samsung KNOX) Cette commande désactive ou active l'accès aux applications • du Work Space sur le terminal. Travail et Personnel - Contrôle total (Secure Work Space) • Travail et Personnel Confidentialité de l'utilisateur (Secure Work Space) • Travail et Personnel - Contrôle total (Samsung KNOX) 279 Commandes et contrôles de terminal Commande Spécifier le mot de passe du terminal et verrouiller le terminal Mettre à jour les informations du terminal Types d'activation Description • Travail et Personnel Confidentialité de l'utilisateur (Samsung KNOX) • Espace Travail uniquement (Samsung KNOX) Cette commande vous permet de créer un mot de passe, puis • de verrouiller le terminal. Vous devez créer un mot de passe • conforme aux règles de mots de passe existantes. Lorsque l'utilisateur déverrouille le terminal, celui-ci l'invite à accepter • ou rejeter le nouveau mot de passe. Contrôles MDM Travail et Personnel - Contrôle total (Secure Work Space) Travail et Personnel - Contrôle total (Samsung KNOX) Cette commande envoie et reçoit des informations mises à jour sur le terminal. Par exemple, vous pouvez envoyer des règles de stratégie informatique ou des profils mis à jour à un terminal et recevoir des informations mises à jour sur un terminal comme la version du système d'exploitation ou le niveau de la batterie. • Commande Description Types d'activation Verrouiller le terminal Cette commande verrouille un terminal. L'utilisateur doit saisir Contrôles MDM le mot de passe du terminal existant pour déverrouiller le terminal. Si un terminal est temporairement perdu, vous pouvez utiliser cette commande. Toutes Windows Lorsque vous envoyez cette commande, le terminal se verrouille uniquement s'il existe un mot de passe de terminal. Sinon, aucune action n'est prise sur le terminal. Cette commande est uniquement prise en charge sur les terminaux exécutant Windows 10 Mobileet Windows Phoneversion 8.1 ou ultérieure. Générer le mot de passe et verrouiller le terminal Contrôles MDM Cette commande génère un mot de passe et verrouille le terminal. Le mot de passe généré est envoyé par e-mail à l'utilisateur. Vous pouvez utiliser l'adresse électronique présélectionnée ou spécifier une adresse électronique. Le mot 280 Commandes et contrôles de terminal Commande Types d'activation Description de passe généré est conforme aux règles de mots de passe existantes. Cette commande est uniquement prise en charge sur les terminaux exécutantWindows 10 Mobile and Windows Phone OS version 8.10.14176 ou ultérieure. Supprimer uniquement les données professionnelles Cette commande supprime les données professionnelles, y compris les stratégies informatiques, profils, applications et certificats présents sur le terminal et supprime éventuellement le terminal de BES12. Contrôles MDM Le compte d'utilisateur n'est pas supprimé lorsque vous envoyez cette commande. Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. Supprimer toutes les données du terminal Cette commande permet de supprimer les informations utilisateur et les données des applications stockées sur le terminal. Elle rétablit les paramètres d'usine par défaut sur le terminal et supprime éventuellement le terminal de BES12. Contrôles MDM Après avoir envoyé cette commande, vous avez la possibilité de supprimer le terminal de BES12. Si le terminal ne parvient pas à se connecter à BES12, vous pouvez supprimer le supprimer de BES12. Si le terminal se connecte à BES12 après que vous l'ayez supprimé, seules les données professionnelles sont supprimées du terminal, y compris de l'espace Travail, le cas échéant. Mettre à jour les informations du terminal Cette commande envoie et reçoit des informations mises à jour sur le terminal. Par exemple, vous pouvez envoyer des règles de stratégie informatique ou des profils mis à jour à un terminal et recevoir des informations mises à jour sur un terminal comme la version du système d'exploitation ou le niveau de la batterie. 281 Contrôles MDM Commandes et contrôles de terminal Afficher et enregistrer un rapport de terminal Vous pouvez générer un rapport permettant d'afficher les informations détaillées sur chaque terminal associé à BES12. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom du compte d'utilisateur. 4. Sélectionnez l'onglet Terminal. 5. Cliquez sur Afficher le rapport de terminal. 6. Cliquez sur Exporter pour enregistrer le rapport dans un fichier de l'ordinateur, si nécessaire. Vérification qu'un terminal est autorisé à accéder à la messagerie professionnelle et aux données de l'organiseur Lorsque votre organisation utilise BlackBerry Gatekeeping Service pour contrôler les terminaux qui peuvent accéder à la messagerie professionnelle et aux données de l'organiseur depuis Exchange ActiveSync, au moins un serveur de contrôle d'accès est configuré sur un profil de messagerie. Lorsque le profil de messagerie avec contrôle d'accès configuré est attribuée à un compte d'utilisateur, vous pouvez vérifier l'état de la connexion entre un terminal et Exchange ActiveSync. Vous pouvez localiser cet état en consultant la page des détails du terminal de la section Stratégie informatique et profils. Les états suivants s'affichent dans les détails du terminal en regard du profil de messagerie. État Description Inconnu L'état Inconnu s'affiche lorsque BES12 ne peut pas déterminer l'ID du terminal. Le terminal est répertorié dans la liste limitée des terminaux et doit être manuellement ajouté à la liste autorisée. Connexion en attente L'état Connexion en attente s'affiche lorsque BES12 connait l'ID du terminal et que le terminal est mis en file d'attente pour être ajouté à la liste autorisée. Connexion autorisée L'état Connexion autorisée s'affiche lorsque BES12 connait l'ID du terminal et que le terminal se trouve sur la liste autorisée. 282 Commandes et contrôles de terminal Vérifier qu'un terminal est autorisé 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux. 2. Recherchez un compte d'utilisateur. 3. Dans les résultats de la recherche, cliquez sur le nom d'un compte d'utilisateur. 4. Sélectionnez l'onglet correspondant au terminal que vous souhaitez vérifier. 5. Dans la section Stratégie informatique et profils, si le terminal est autorisé, Connexion autorisée s'affiche en regard du profil de messagerie. Utilisation d'Exchange Gatekeeping Votre organisation peut utiliser BlackBerry Gatekeeping Service pour contrôler quels terminaux peuvent accéder à Exchange ActiveSync. Pour obtenir des instructions sur la configuration de Exchange ActiveSync et BlackBerry Gatekeeping Service dans le contenu relatif à la configuration, consultez les sections Contrôle des terminaux pouvant accéder à Exchange ActiveSync. Lorsque votre organisation utilise BlackBerry Gatekeeping Service, tous les terminaux ne figurant pas sur la liste blanche pour Microsoft Exchange sont signalés dans la liste des terminaux Exchange ActiveSync restreints BES12. Si vous ajoutez un compte d'utilisateur et que vous attribuez à ce compte d'utilisateur un profil de messagerie pour lequel BlackBerry Gatekeeping Service est configuré, tous les terminaux précédemment bloqués, mis en quarantaine ou manuellement autorisés qui sont liés à ce compte d'utilisateur s'affichent dans la liste des terminaux Exchange ActiveSync restreints. Si BES12 ne parvient pas à obtenir l'ID Exchange ActiveSync d'un terminal, il n'est pas ajouté à la liste autorisée pour Microsoft Exchange. Vous pouvez manuellement ajouter ces terminaux à la liste autorisée depuis la liste des terminaux Exchange ActiveSync limités. Par exemple, si un terminal Android est activé, sans que Secure Work Space utilise le type d'authentification MDM, BES12 n'est pas en mesure d'obtenir un ID Exchange ActiveSync et vous devez manuellement autoriser le terminal dans la liste des terminaux Exchange ActiveSync limités. Autoriser un terminal à accéder à Microsoft ActiveSync Vous pouvez manuellement autoriser un terminal à accéder à Microsoft ActiveSync pour permettre à un utilisateur de recevoir des e-mails et d'autres informations depuis Microsoft Exchange Server sur le terminal. Avant de commencer: Configurez BlackBerry Gatekeeping Service. Dans le contenu relatif à la configuration, consultez les sections concernant le Contrôle des terminaux pouvant accéder à Exchange ActiveSync. 1. Sur la barre de menus, cliquez sur Utilisateurs > Exchange Gatekeeping. 2. Recherchez un terminal. 3. Dans la colonne Action, cliquez sur . 283 Commandes et contrôles de terminal Bloquer l'accès d'un terminal à Microsoft ActiveSync Vous pouvez bloquer manuellement l'accès d'un terminal précédemment autorisé Microsoft ActiveSync. Ce faisant, le terminal empêche l'utilisateur de récupérer des e-mails et d'autres informations depuis Microsoft Exchange Server sur le terminal. Avant de commencer: Configurez BlackBerry Gatekeeping Service. Dans le contenu relatif à la configuration, consultez les sections concernant le Contrôle des terminaux pouvant accéder à Exchange ActiveSync. 1. Sur la barre de menus, cliquez sur Utilisateurs. 2. Cliquez sur Exchange Gatekeeping. 3. Recherchez un terminal. 4. Dans la colonne Action, cliquez sur . Désactivation des terminaux Lorsque vous ou un utilisateur désactivez un terminal, la connexion entre le terminal et le compte d'utilisateur dans BES12 est supprimée. Vous ne pouvez pas gérer le terminal et ce dernier ne s'affiche pas dans la console de gestion. L'utilisateur ne peut pas accéder aux données professionnelles du terminal. Vous pouvez désactiver un terminal à l'aide de la commande Supprimer les données professionnelles uniquement. Les utilisateurs peuvent désactiver leurs terminaux à l'aide des méthodes suivantes : • Pour les terminaux iOS, les utilisateurs peuvent sélectionner Désactiver mon terminal dans l'écran « À propos de » de l'application Good for BES12. • Pour les terminaux Android ou Windows Phone, les utilisateurs peuvent sélectionner Désactiver mon terminal dans l'écran « À propos de » de BES12 Client. • Pour les terminaux Windows 10, les utilisateurs peuvent sélectionner Paramètres > Comptes > Accès professionnel > Supprimer. • Pour les terminaux BlackBerry 10, les utilisateurs peuvent sélectionner Paramètres > BlackBerry Balance > Supprimer l'espace Travail. Pour les terminaux Android qui utilisent KNOX MDM, lorsque le terminal est désactivé, les applications internes sont désinstallées, et l'option Désinstaller devient disponible pour toutes les applications publiques installées depuis la liste d'applications selon les besoins. 284 Commandes et contrôles de terminal Localiser un terminal Vous pouvez localiser des terminaux iOS, Android et Windows 10 Mobile (par exemple, en cas de perte ou de vol d'un terminal). Les utilisateurs doivent accepter le profil de service de localisation pour que la console de gestion puisse afficher l'emplacement des terminaux iOS et Android sur une carte. Les terminaux Windows 10 Mobile acceptent automatiquement le profil. L'historique de localisation est disponible pour les terminaux iOS et Android si vous l'avez activé dans le profil. Avant de commencer: Créez et attribuez un profil de service de localisation. 1. Sur la barre de menus, cliquez sur Utilisateurs et terminaux > Terminaux gérés. 2. Cochez la case de chaque terminal que vous souhaitez localiser. 3. Cliquez sur 4. Trouvez les terminaux sur la carte à l'aide des icônes suivantes. Si un terminal iOS ou Android ne répond pas avec les dernières informations d'emplacement et que l'historique de localisation est activé dans le profil, la carte affiche le dernier emplacement connu du terminal. • • . Emplacement actuel : Dernier emplacement connu : Vous pouvez cliquer ou passez la souris sur une icône pour afficher les informations d'emplacement, telles que la latitude et la longitude et l'heure à laquelle l'emplacement a été enregistré (il y a 1 minute ou il y a 2 heures, par exemple). 5. Pour afficher l'historique de localisation d'un terminal iOS ou Android, procédez comme suit : a. Cliquez sur Afficher l'historique de localisation. b. Sélectionnez une plage de date et d'heure. c. Cliquez sur Envoyer. Informations connexes Créer un profil de service de localisation, à la page 129 Supprimer Secure Work Space des terminaux Vous pouvez supprimer Secure Work Space des terminaux. Par exemple, si vous voulez que les terminaux utilisent Good Work à la place de Secure Work Space, vous pouvez attribuer un profil Good Dynamics à un utilisateur, puis supprimer Secure Work Space des terminaux. Lorsque vous supprimez Secure Work Space des terminaux, les utilisateurs ne sont pas tenus de réactiver leurs terminaux. 1. Sur la barre de menus, cliquez sur Utilisateurs. 285 Commandes et contrôles de terminal 2. Sélectionnez les utilisateurs pour lesquels vous voulez supprimer Secure Work Space. 3. Cliquez sur 4. Lorsqu'un message vous invite à supprimer Secure Work Space des terminaux des utilisateurs sélectionnés, cliquez sur Supprimer. . Lorsque vous supprimez Secure Work Space d'un terminal, le type d'activation qui est attribué au terminal change comme suit : • Les terminaux qui sont activés avec Travail et Personnel - Contrôle total ont le type d'activation Contrôles MDM • Les terminaux qui sont activés avec Travail et Personnel - Confidentialité de l'utilisateur ont le type d'activation Confidentialité de l'utilisateur 286 Paramètres de profil Paramètres de profil 14 Reportez-vous aux descriptions détaillées des paramètres de profil pour configurer les profils de messagerie, de messagerie IMAP/POP3, SCEP, Wi-Fi et VPN. Paramètres de profil de messagerie Vous pouvez utiliser une variable de paramètre de profil correspondant à un champ de texte pour faire référence à une valeur plutôt que de spécifier la valeur réelle.BES12prend en charge les variables par défaut prédéfinies et les variables personnalisées que vous définissez. Les profils de messagerie sont pris en charge sur les types de terminaux suivants : • BlackBerry 10 • iOS • OS X • Android • Windows Dans certains cas, la version minimale du système d'exploitation du terminal requis pour prendre en charge un paramètre correspondant à une version non prise en charge par BES12. Pour en savoir plus sur les versions prises en charge, consultez la Matrice de compatibilité. Communs : paramètres de profil de messagerie Commun : paramètre de profil de messagerie Description Nom de domaine Ce paramètre spécifie le nom de domaine du serveur de messagerie. Adresse électronique Ce paramètre spécifie l'adresse électronique de l'utilisateur. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserEmailAddress%. Nom d'hôte ou adresse IP Ce paramètre spécifie le nom d'hôte ou l'adresse IP du serveur de messagerie. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur de l'utilisateur. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Serveurs de contrôle d'accès automatique Ce paramètre spécifie les serveurs Microsoft Exchange pouvant utiliser le contrôle d'accès avec les terminaux. Si le compte de messagerie d'un utilisateur se trouve sur un serveur 287 Paramètres de profil Commun : paramètre de profil de messagerie Description spécifié, lorsque l'utilisateur active un des terminaux suivants, et que ce terminal répond à la stratégie de sécurité de votre organisation, il est automatiquement ajouté à la liste autorisée dans Microsoft Exchange : • BlackBerry 10 • Windows • iOS • OS X • Android avec Secure Work Space Les terminaux sont automatiquement supprimés de la liste autorisée si une application non attribuée est installée, si le terminal viole les paramètres du profil de conformité attribué ou s'il est désactivé. Pour les comptes d'utilisateur existants, vous devez manuellement réattribuer le profil de messagerie configuré avec contrôle d'accès au compte d'utilisateur ou au groupe pour mettre en œuvre cette fonctionnalité. Si vous configurez le contrôle d'accès automatique, le paramètre Type de profil des terminaux BlackBerry 10 et Windows doit être défini sur « Exchange ActiveSync ». BlackBerry 10 : paramètres de profil de messagerie BlackBerry 10 : paramètre de Description profil de messagerie Nom du compte Ce paramètre spécifie le nom du compte de messagerie professionnel qui apparait dans BlackBerry Hub et dans les paramètres du terminal. Vous pouvez utiliser une variable telle que %UserEmailAddress%. Port Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie. Paramètres de remise Type de profil Ce paramètre spécifie si vous souhaitez que ce profil prenne en charge Exchange ActiveSync ou IBM Notes Traveler. Valeurs possibles : • Exchange ActiveSync • IBM Notes Traveler 288 Paramètres de profil BlackBerry 10 : paramètre de Description profil de messagerie La valeur par défaut est Exchange ActiveSync. Serveur SyncML Ce paramètre indique le FQDN du serveur IBM Notes Traveler qu'un terminal BlackBerry 10 peut utiliser pour synchroniser les données To Do. Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « IBM Notes Traveler ». Port SyncML Ce paramètre indique le port du serveur Notes Traveler qu'un terminal BlackBerry 10 peut utiliser pour synchroniser les données To Do. Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « IBM Notes Traveler ». Utiliser SSL pour SyncML Ce paramètre indique si un terminal BlackBerry 10 doit se connecter au serveur Notes Traveler. Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « IBM Notes Traveler ». Push activé Ce paramètre indique si le serveur de messagerie peut transférer les e-mails au terminal BlackBerry 10. Intervalle entre les synchronisations Ce paramètre indique la fréquence à laquelle un terminal BlackBerry 10 vérifie la présence de nouveaux e-mails sur le serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Push activé n'est pas sélectionné. Valeurs possibles : • Manuel • 5 minutes • 15 minutes • 30 minutes • 1 heure • 2 heures • 4 heures • 24 heures La valeur par défaut est 15 minutes. Jours de synchronisation Ce paramètre spécifie le nombre de jours passés afin de synchroniser les e-mails et données de l'organiseur avec un terminal BlackBerry 10. 289 Paramètres de profil BlackBerry 10 : paramètre de Description profil de messagerie Valeurs possibles : • 1 jour • 3 jours • 7 jours • 14 jours • 1 mois • Toujours La valeur par défaut est de 1 mois. Synchronisation manuelle requise lors de l'itinérance Ce paramètre indique si un utilisateur doit lancer la synchronisation entre un terminal BlackBerry 10 et le serveur de messagerie en cas d'itinérance de l'utilisateur. Utiliser SSL Ce paramètre spécifie si un terminal doit utiliser SSL pour se connecter au serveur de messagerie. Synchronisation du calendrier Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les entrées de calendrier avec le serveur de messagerie. Synchronisation des contacts Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les contacts avec le serveur de messagerie. Synchronisation des e-mails Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les e-mails avec le serveur de messagerie. Synchronisation des mémos Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les données des mémos avec le serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « Exchange ActiveSync ». Synchronisation des tâches Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les données des tâches avec le serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « Exchange ActiveSync ». Synchronisation ToDo Ce paramètre spécifie si un terminal BlackBerry 10 synchronise les données To Do avec Notes Traveler. Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « IBM Notes Traveler ». 290 Paramètres de profil BlackBerry 10 : paramètre de Description profil de messagerie Paramètres de messagerie sécurisée Suggérer un codage par défaut pour les messages sortants Ce paramètre spécifie si un terminal BlackBerry 10 suggère le codage par défaut, (par exemple, texte brut, signer, crypter ou signer et crypter) pour tous les e-mails sortants. Si ce paramètre est défini sur Autoriser, un utilisateur peut choisir si le terminal suggère le codage par défaut ou le codage en fonction de l'historique des messages. Si ce paramètre est défini sur Requis, le terminal suggère le codage par défaut. Si ce paramètre est défini sur Interdire, le terminal suggère le codage en fonction de l'historique des messages. Valeurs possibles : • Autoriser • Requise • Interdire La valeur par défaut est Autoriser. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Paramètres S/MIME Prise en charge S/MIME Ce paramètre spécifie si S/MIME est activé sur un terminal BlackBerry 10. Si ce paramètre est défini sur Autoriser, un utilisateur peut choisir d'activer ou non la protection S/MIME sur le terminal. Si ce paramètre est défini sur Requis, la protection S/MIME est activée sur le terminal et l'utilisateur ne peut pas la désactiver. Si ce paramètre est défini sur Interdire, la protection S/MIME est désactivée sur le terminal et l'utilisateur ne peut pas l'activer. Pour envoyer des e-mails cryptés, l'utilisateur doit disposer de la clé publique du destinataire sur le terminal ou la carte à puce. Pour envoyer des e-mails avec signature numérique, la clé privée de l'utilisateur doit se trouver sur le terminal ou la carte à puce. Ce paramètre est prioritaire sur les paramètres Messages S/MIME avec signature numérique et Messages S/MIME cryptés. Ce paramètre affecte le paramètre Prise en charge PGP. Si ce paramètre est défini sur Requis, le paramètre Prise en charge PGP doit être défini sur Interdire. Valeurs possibles : • Autoriser • Requise • Interdire La valeur par défaut est Autoriser. 291 Paramètres de profil BlackBerry 10 : paramètre de Description profil de messagerie Messages S/MIME avec signature numérique Ce paramètre spécifie si un terminal BlackBerry 10 envoie des e-mails sortants avec une signature numérique. Si ce paramètre est défini sur Autoriser, l'utilisateur peut choisir de signer numériquement les e-mails sortants. Si ce paramètre est défini sur Requis, l'utilisateur doit signer numériquement les e-mails sortants. Si ce paramètre est défini sur Interdire, l'utilisateur ne peut pas signer numériquement les e-mails sortants. Pour envoyer des e-mails avec signature numérique, la clé privée de l'utilisateur doit se trouver sur le terminal ou la carte à puce. Ce paramètre est valide uniquement si le paramètre Prise en charge S/MIME est défini Autoriser ou Requis. Si le paramètre Prise en charge S/MIME est défini sur Requis et que ce paramètre et le paramètre Messages S/MIME cryptés sont définis sur Interdire, le paramètre Messages S/ MIME cryptés et ce paramètre sont ignorés et le paramètre Autoriser est utilisé. Valeurs possibles : • Autoriser • Requise • Interdire La valeur par défaut est Autoriser. Messages S/MIME cryptés Ce paramètre spécifie si un terminal BlackBerry 10 crypte les e-mails sortants à l'aide du cryptage S/MIME. Si ce paramètre est défini sur Autoriser, l'utilisateur peut choisir de crypter les e-mails sortants. Si ce paramètre est défini sur Requis, l'utilisateur doit crypter les e-mails sortants. Si ce paramètre est défini sur Interdire, l'utilisateur ne peut pas crypter les e-mails sortants. Pour envoyer des e-mails cryptés, l'utilisateur doit disposer de la clé publique du destinataire sur le terminal ou la carte à puce. Ce paramètre est valide uniquement si le paramètre Prise en charge S/MIME est défini Autoriser ou Requis. Si le paramètre Prise en charge S/MIME est défini sur Requis et que ce paramètre et le paramètre Messages S/MIME avec signature numérique sont définis sur Interdire, le paramètre Messages S/MIME avec signature numérique et ce paramètre sont ignorés et le paramètre par défaut Autoriser est utilisé pour les deux paramètres. Valeurs possibles : • Autoriser • Requise • Interdire 292 Paramètres de profil BlackBerry 10 : paramètre de Description profil de messagerie La valeur par défaut est Autoriser. Algorithmes de cryptage Ce paramètre spécifie les algorithmes de cryptage qu'un terminal BlackBerry 10 peut utiliser pour crypter des e-mails protégés par S/MIME. Valeurs possibles : • AES (256 bits) • AES (192 bits) • AES (128 bits) • Triple DES • RC2 La valeur par défaut est une valeur nulle. Paramètres PGP Prise en charge PGP Ce paramètre spécifie si la protection PGP est activée sur un terminal BlackBerry 10. Si ce paramètre est défini sur Autoriser, un utilisateur peut choisir d'activer ou non la protection PGP sur le terminal. Si ce paramètre est défini sur Requis, la protection PGP est activée sur le terminal et l'utilisateur ne peut pas la désactiver. Si ce paramètre est défini sur Interdire, la protection PGP est désactivée sur le terminal et l'utilisateur ne peut pas l'activer. Pour envoyer des e-mails cryptés, l'utilisateur doit disposer de la clé publique du destinataire sur le terminal. Pour envoyer des e-mails avec signature numérique, la clé privée de l'utilisateur doit se trouver sur le terminal. Le paramètre Prise en charge S/MIME affecte ce paramètre. Si le paramètre Prise en charge S/MIME est défini sur Requis ou si le paramètre Prise en charge S/MIME est défini sur Autoriser et le paramètre Messages S/MIME avec signature numérique ou Messages cryptés S/MIME sont définis sur Requis, ce paramètre doit être défini sur Interdire. Valeurs possibles : • Autoriser • Requise • Interdire La valeur par défaut est Autoriser. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Adresse Symantec Encryption Ce paramètre spécifie le FQDN ou l'adresse IP du serveur Symantec Encryption Management Management Server Server de votre entreprise pour demander à un utilisateur de terminal BlackBerry 10 d'inscrire le terminal sur ce serveur afin d'envoyer des PGP. 293 Paramètres de profil BlackBerry 10 : paramètre de Description profil de messagerie Le paramètre Prise en charge PGP affecte ce paramètre. Le terminal utilise ce paramètre si le paramètre PGP est défini sur Autoriser ou Requis. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Méthode d'inscription Symantec Encryption Management Server Ce paramètre spécifie la méthode qu'un utilisateur de terminal BlackBerry 10 doit utiliser pour inscrire le terminal sur Symantec Encryption Management Server. Si ce paramètre est défini sur Authentification par e-mail, le terminal invite l'utilisateur à saisir son adresse électronique. Si ce paramètre est défini sur Authentification Microsoft Active Directory, le terminal invite l'utilisateur à saisir son nom d'utilisateur de domaine et son mot de passe. Le paramètre Prise en charge PGP affecte ce paramètre. Le terminal utilise ce paramètre si le paramètre PGP est défini sur Autoriser ou Requis. Valeurs possibles : • Authentification par e-mail • Authentification Microsoft Active Directory La valeur par défaut est Authentification par e-mail. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Profils associés Type d'authentification Ce paramètre spécifie le type d'authentification utilisé par un terminal BlackBerry 10 pour se connecter au serveur de messagerie. Valeurs possibles : • Aucune • SCEP • Informations d'identification de l'utilisateur La valeur par défaut est Aucune. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un BlackBerry 10 terminal pour obtenir un certificat client et s'authentifier auprès du serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur SCEP. Profil des informations Ce paramètre spécifie le profil des informations d'identification de l'utilisateur associé utilisé d'identification de l'utilisateur par un BlackBerry 10 terminal pour obtenir un certificat client et s'authentifier auprès du associé serveur de messagerie. 294 Paramètres de profil BlackBerry 10 : paramètre de Description profil de messagerie Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Informations d'identification de l'utilisateur. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Classification de messages Fichier de classification de messages (.json) Ce paramètre spécifie le fichier de classification de messages à envoyer aux terminaux des utilisateurs. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Profil S/MIME et dépendances entre les paramètres des terminaux Le tableau suivant présente les dépendances entre les paramètres S/MIME que vous pouvez configurer dans BES12 et les paramètres S/MIME que les utilisateurs peuvent configurer sur les terminaux BlackBerry 10. Selon leur définition, les options de la liste déroulante Codage des terminaux changent. Les terminaux ignorent la valeur de certains paramètres si un paramètre de priorité plus élevée (paramètre Prise en charge S/MIME, par exemple) est en conflit avec la valeur de ce paramètre. Paramètre Prise en charge S/MIME Paramètre Messages Paramètre S/MIME avec Messages S/ signature numérique MIME cryptés Paramètres S/MIME sur le terminal Autorisé Autorisé L'utilisateur peut activer ou désactiver la protection S/MIME. Autorisé Autorisé Autorisé Requise Non autorisé 295 Liste déroulante Codage du terminal • Texte brut • Signer (S/ MIME) • Crypter (S/ MIME) • Signer et crypter (S/ MIME) La protection S/MIME est activée. L'utilisateur ne peut pas la désactiver. • Crypter (S/ MIME) • Signer et crypter (S/ MIME) L'utilisateur peut activer ou désactiver la protection S/MIME. • Texte brut Paramètres de profil Paramètre Prise en charge S/MIME Paramètre Messages Paramètre S/MIME avec Messages S/ signature numérique MIME cryptés Requise Requise Autorisé Paramètres S/MIME sur le terminal La protection S/MIME est activée. L'utilisateur ne peut pas la désactiver. Liste déroulante Codage du terminal • Signer (S/ MIME) • Signer (S/ MIME) • Signer et crypter (S/ MIME) Requise Requise La protection S/MIME est Signer et crypter (S/ activée. L'utilisateur ne peut pas MIME) la désactiver. Requise Non autorisé La protection S/MIME est Signer (S/MIME) activée. L'utilisateur ne peut pas la désactiver. Non autorisé Autorisé L'utilisateur peut activer ou désactiver la protection S/MIME. • Texte brut • Crypter (S/ MIME) Non autorisé Requise La protection S/MIME est Crypter (S/MIME) activée. L'utilisateur ne peut pas la désactiver. Non autorisé Non autorisé L'utilisateur peut activer ou Texte brut désactiver la protection S/MIME, mais ne peut pas crypter ou signer les messages, car les profils nécessaires sont définis sur Non autorisé. Autorisé Autorisé La protection S/MIME est activée. L'utilisateur ne peut pas la désactiver. 296 • Signer (S/ MIME) • Crypter (S/ MIME) Paramètres de profil Paramètre Prise en charge S/MIME Paramètre Messages Paramètre S/MIME avec Messages S/ signature numérique MIME cryptés Autorisé Requise Paramètres S/MIME sur le terminal La protection S/MIME est activée. L'utilisateur ne peut pas la désactiver. Liste déroulante Codage du terminal • Signer et crypter (S/ MIME) • Crypter (S/ MIME) • Signer et crypter (S/ MIME) Autorisé Non autorisé La protection S/MIME est Signer (S/MIME) activée. L'utilisateur ne peut pas la désactiver. Requise Autorisé La protection S/MIME est activée. L'utilisateur ne peut pas la désactiver. • Signer (S/ MIME) • Signer et crypter (S/ MIME) Requise Requise La protection S/MIME est Signer et crypter (S/ activée. L'utilisateur ne peut pas MIME) la désactiver. Requise Non autorisé La protection S/MIME est Signer (S/MIME) activée. L'utilisateur ne peut pas la désactiver. Non autorisé Autorisé La protection S/MIME est Crypter (S/MIME) activée. L'utilisateur ne peut pas la désactiver. Non autorisé Requise La protection S/MIME est Crypter (S/MIME) activée. L'utilisateur ne peut pas la désactiver. Non autorisé Non autorisé (Ce paramètre est ignoré) (Ce paramètre est ignoré) La protection S/MIME est activée. L'utilisateur ne peut pas la désactiver. 297 • Signer (S/ MIME) Paramètres de profil Paramètre Prise en charge S/MIME Non autorisé Paramètre Messages Paramètre S/MIME avec Messages S/ signature numérique MIME cryptés Tous les paramètres sont ignorés Tous les paramètres sont ignorés Paramètres S/MIME sur le terminal La protection S/MIME est désactivée. L'utilisateur ne peut pas l'activer. Liste déroulante Codage du terminal • Crypter (S/ MIME) • Signer et crypter (S/ MIME) Texte brut Profil PGP et dépendances entre les paramètres des terminaux Le tableau suivant présente les dépendances entre le paramètre Prise en charge PGP que vous pouvez configurer dans PGP et les paramètres BES12 que les utilisateurs peuvent configurer sur les terminaux BlackBerry 10. Selon la définition du paramètre Prise en charge PGP, les options de la liste déroulante Codage des terminaux changent. Les terminaux ignorent la valeur de ce paramètre si un paramètre de priorité plus élevée (paramètre Prise en charge S/MIME, par exemple) est en conflit avec la valeur de ce paramètre. Paramètre Prise en charge PGP Paramètres PGP du terminal Liste déroulante Codage du terminal Autoriser Les utilisateurs peuvent activer ou désactiver la protection PGP. • Texte brut • Signer (PGP) • Crypter (PGP) • Signer et crypter (PGP) • Signer (PGP) • Crypter (PGP) • Signer et crypter (PGP) Requise Interdire La protection PGP est activée. L'utilisateur ne peut pas la désactiver. La protection PGP est désactivée. L'utilisateur ne peut pas l'activer. 298 Aucune liste déroulante. Le texte brut est utilisé. Paramètres de profil iOS : paramètres de profil de messagerie iOS : paramètre de profil de messagerie Description Paramètres de remise Autoriser le déplacement de messages Ce paramètre spécifie si les utilisateurs peuvent déplacer les e-mails de ce compte vers un autre compte de messagerie présent sur un terminal iOS. Autoriser la synchronisation des adresses récentes Ce paramètre spécifie si un utilisateur de terminal iOS peut synchroniser les adresses récemment utilisées sur les terminaux. Utiliser uniquement dans la messagerie Ce paramètre spécifie si les applications autres que l'application de messagerie d'un terminal iOS peuvent utiliser ce compte pour envoyer des e-mails. Activer S/MIME Ce paramètre spécifie si un utilisateur de terminal iOS peut envoyer des e-mails protégés par S/MIME. Informations d'identification de signature Ce paramètre spécifie la manière dont les terminaux trouvent les certificats requis pour signer les messages. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Valeurs possibles : • Certificat partagé • SCEP • Informations d'identification de l'utilisateur Après avoir choisi le type de profil que vous souhaitez utiliser, spécifiez le profil de certificat partagé, profil SCEP ou profil des informations d'identification de l'utilisateur. Certificat partagé de signature Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un terminal iOS afin de signer des e-mails. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. SCEP de signature Ce paramètre spécifie le profil SCEP utilisé par les terminaux pour récupérer les certificats requis pour signer les e-mails à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Informations d'identification de connexion de l'utilisateur Ce paramètre spécifie le profil des informations d'identification de l'utilisateur utilisé par les terminaux pour obtenir les certificats client requis pour signer les e-mails à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. 299 Paramètres de profil iOS : paramètre de profil de messagerie Description Informations d'identification de cryptage Ce paramètre spécifie la manière dont les terminaux trouvent les certificats requis pour crypter les messages. Valeurs possibles : • Certificat partagé • SCEP • Informations d'identification de l'utilisateur Après avoir sélectionné le type de profil, sélectionnez le profil de certificat partagé, profil SCEP ou profil des informations d'identification de l'utilisateur que vous souhaitez utiliser. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Certificat partagé de cryptage Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un terminal iOS afin de crypter des e-mails. Les terminaux choisissent le certificat adapté au destinataire pour crypter les messages à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. SCEP de cryptage Ce paramètre spécifie le profil SCEP utilisé par les terminaux pour récupérer les certificats requis et crypter les e-mails à l'aide de S/MIME. Ce paramètre s'applique uniquement si le paramètre Activer S/MIME est sélectionné. Informations d'identification de l'utilisateur de cryptage Ce paramètre spécifie le profil des informations d'identification de l'utilisateur utilisé par les terminaux pour récupérer les certificats client requis et crypter les e-mails à l'aide de S/MIME. Ce paramètre s'applique uniquement si le paramètre Activer S/MIME est sélectionné. Crypter les messages Ce paramètre spécifie si tous les e-mails doivent être cryptés lorsque l'utilisateur les envoie (Obligatoire) ou si l'utilisateur peut choisir les messages à crypter au moment où il les envoie (Autoriser). Ce paramètre s'applique uniquement si le paramètre Activer S/MIME est sélectionné. Valeurs possibles : • Obligatoire • Autoriser La valeur par défaut est Requis. L'exigence minimale est iOS version 8.0 et les terminaux doivent être activés avec les commandes MDM. 300 Paramètres de profil iOS : paramètre de profil de messagerie Jours de synchronisation Description Ce paramètre spécifie le nombre de jours passés afin de synchroniser les e-mails et données de l'organiseur avec un terminal iOS. Valeurs possibles : • 1 jour • 3 jours • 7 jours • 14 jours • 1 mois • Toujours La valeur par défaut est 7 jours. Remarque: Ce paramètre s'applique uniquement aux applications de messagerie et de l'organiseur par défaut des terminaux iOS avec le type d'activation Contrôles MDM. Si le type d'activation Travail et Personnel - Confidentialité de l'utilisateur ou Travail et Personnel Contrôle total est attribué au terminal, ce paramètre n'affecte pas les paramètres de synchronisation de l'application de messagerie et de l'organiseur par défaut ou de l'application Work Connect. Authentification Activer BlackBerry Secure Gateway Service Ce paramètre spécifie si les terminaux iOS utilisant le type d'activation Contrôles MDM utilisent BlackBerry Secure Gateway Service pour se connecter au serveur de messagerie. BlackBerry Secure Gateway Service fournit une connexion sécurisée par le biais de et au serveur de messagerie de votre entreprise via BlackBerry Infrastructure et BES12. Avant d'activer ce service, vérifiez que votre entreprise dispose des licences BES12 adéquates. Pour en savoir plus, rendez-vous sur le site http://support.blackberry.com/kb et consultez l'article KB37720. Type d'authentification Ce paramètre spécifie le type d'authentification utilisé par un terminal iOS pour se connecter au serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Activer BlackBerry Secure Gateway n'est pas sélectionné. Valeurs possibles : • Aucune • Certificat partagé • SCEP • Informations d'identification de l'utilisateur 301 Paramètres de profil iOS : paramètre de profil de messagerie Description La valeur par défaut est Aucune. Profil de certificat partagé Ce paramètre spécifie le profil de certificat partagé du certificat client utilisé par un terminal iOS pour se connecter au serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type d'authentification ou le paramètre Méthode d'authentification est défini sur Certificat partagé. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un iOS terminal pour inscrire un certificat client et s'authentifier auprès du serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Activer BlackBerry Secure Gateway n'est pas sélectionné et si le paramètre Type d'authentification est défini sur SCEP. Profil des informations Ce paramètre spécifie le profil des informations d'identification de l'utilisateur associé utilisé d'identification de l'utilisateur par un terminal iOS pour obtenir un certificat client et s'authentifier auprès du serveur de associé messagerie. Ce paramètre est valide uniquement si le paramètre Activer BlackBerry Secure Gateway n'est pas sélectionné et si le paramètre Type d'authentification est défini sur Informations d'identification de l'utilisateur. Utiliser des informations Ce paramètre spécifie si un terminal utilise des informations d'identification et un certificat d'identification et un certificat client obtenus à l'aide du profil SCEP associé pour s'authentifier auprès du serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Activer BlackBerry Secure Gateway n'est pas sélectionné et si le paramètre Type d'authentification est défini sur SCEP. Utiliser SSL Ce paramètre spécifie si un terminal doit utiliser SSL pour se connecter au serveur de messagerie. Accepter tous les certificats SSL Ce paramètre spécifie si les terminaux avec Secure Work Space acceptent les certificats SSL non approuvés du serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Utiliser SSL est sélectionné. Domaines de messagerie externes Liste autorisée des domaines de messagerie externes Ce paramètre spécifie la liste de domaines vers lesquels un utilisateur peut envoyer des emails professionnels et des entrées de calendriers. Par exemple, lorsqu'un utilisateur ajoute un destinataire disposant d'une adresse électronique dans le domaine autorisé à un e-mail ou une entrée de calendrier, aucun message d'avertissement ne s'affiche. Ce paramètre s'applique à l'espace Travail uniquement. 302 Paramètres de profil iOS : paramètre de profil de messagerie Description Si vous souhaitez indiquer plusieurs noms de domaine, séparez-les par une virgule (,), un point-virgule (;) ou un espace. Liste restreinte des domaines de messagerie externes Ce paramètre spécifie la liste de domaines vers lesquels les utilisateurs peuvent envoyer des e-mails professionnels et des entrées de calendriers. Par exemple, si un utilisateur tente d'ajouter un destinataire disposant d'une adresse électronique correspondant au domaine limité à un e-mail ou une invitation de calendrier, l'application Work Connect ne permet pas à l'utilisateur de mener à bien cette opération. Ce paramètre s'applique à l'espace Travail uniquement. Si vous souhaitez indiquer plusieurs noms de domaine, séparez-les par une virgule (,), un point-virgule (;) ou un espace. Autoriser Mail Drop Ce paramètre spécifie si les utilisateurs peuvent envoyer des fichiers à partir de ce compte avec Mail Drop. L'exigence minimale est iOS version 9.0 et les terminaux doivent être activés avec les commandes MDM. OS X : paramètres de profil de messagerie OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils de messagerie électronique sont appliqués aux comptes d'utilisateur. OS X : paramètre de profil de Description messagerie Chemin d'accès Ce paramètre spécifie le chemin de réseau du serveur de messagerie. Port Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie. Utiliser SSL Ce paramètre spécifie si un terminal doit utiliser SSL pour se connecter au serveur de messagerie. Nom d'hôte ou adresse IP externe Ce paramètre spécifie le nom d'hôte ou l'adresse IP externe du serveur de messagerie. Utiliser un protocole SSL externe Ce paramètre spécifie si un terminal doit utiliser SSL pour se connecter au serveur de messagerie externe. Chemin d'accès externe Ce paramètre spécifie le chemin de réseau du serveur de messagerie externe. 303 Paramètres de profil OS X : paramètre de profil de Description messagerie Port du serveur externe Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie externe. Android : paramètres de profil de messagerie Android : paramètre de profil Description de messagerie Paramètres de remise Type de profil Ce paramètre spécifie si vous souhaitez que ce profil prenne en charge Exchange ActiveSync ou IBM Notes Traveler. Valeurs possibles : • Exchange ActiveSync • IBM Notes Traveler La valeur par défaut est Exchange ActiveSync. Ce paramètre est valide uniquement sur les terminaux dotés de Samsung KNOX Workspace ou Secure Work Space. Jours de synchronisation Ce paramètre spécifie le nombre de jours passés afin de synchroniser les e-mails et données de l'organiseur avec un terminal Android. Valeurs possibles : • Illimité • 1 jour • 3 jours • 7 jours • 14 jours • 1 mois La valeur par défaut est de 1 mois. Pour les terminaux Android utilisant Samsung KNOX MDM, si vous définissez la valeur sur Illimité, un seul mois est synchronisé. Remarque: Ce paramètre s'applique uniquement aux applications de messagerie et de l'organiseur par défaut des terminaux Android avec le type d'activation Contrôles MDM. Si le type d'activation Travail et Personnel - Confidentialité de l'utilisateur ou Travail et Personnel - 304 Paramètres de profil Android : paramètre de profil Description de messagerie Contrôle total est attribué au terminal, ce paramètre n'affecte pas les paramètres de synchronisation des applications de messagerie et de l'organiseur par défaut ou de l'application Work Space Manager. Type d'authentification Ce paramètre spécifie le type d'authentification utilisé par un terminal Android pour se connecter au serveur de messagerie. Valeurs possibles : • Aucune • Certificat partagé • SCEP • Informations d'identification de l'utilisateur La valeur par défaut est Aucune. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un terminal Android pour obtenir un certificat client et s'authentifier auprès du serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur SCEP. Utiliser des informations Ce paramètre spécifie si un terminal utilise des informations d'identification et un certificat d'identification et un certificat client obtenus à l'aide du profil SCEP associé pour s'authentifier auprès du serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur SCEP. Profil de certificat partagé Ce paramètre spécifie le profil de certificat partagé du certificat client utilisé par un terminal Android pour se connecter au serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Certificat partagé. Profil des informations Ce paramètre spécifie le profil des informations d'identification de l'utilisateur du certificat d'identification de l'utilisateur client utilisé par un terminal Android pour se connecter au serveur de messagerie. associé Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Informations d'identification de l'utilisateur. Utiliser SSL Ce paramètre spécifie si un terminal doit utiliser SSL pour se connecter au serveur de messagerie. 305 Paramètres de profil Android : paramètre de profil Description de messagerie Accepter tous les certificats SSL Ce paramètre spécifie si les terminaux avec Secure Work Space acceptent les certificats SSL non approuvés du serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Utiliser SSL est sélectionné. Taille maximale des pièces jointes aux e-mails Ce paramètre spécifie la taille maximale autorisée pour les pièces jointes d'e-mail (en Mo). Les valeurs possibles sont 1 à 365. Le paramètre par défaut est 25. Ce paramètre s'applique uniquement aux terminaux Android for Work. Signature électronique par défaut pour les nouveaux messages Ce paramètre spécifie une signature d'e-mail qui est automatiquement ajoutée aux nouveaux e-mails. Activer S/MIME Ce paramètre spécifie si les terminaux peuvent envoyer des e-mails protégés par S/MIME. Ce paramètre s'applique uniquement aux terminaux Android for Work. Pour les terminaux qui utilisent BlackBerry Productivity Suite, vous devez définir une valeur pour le paramètre Prise en charge S/MIME. Signer les messages Ce paramètre spécifie si les terminaux envoient tous les e-mails sortants avec une signature numérique. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Ce paramètre n'est pas pris en charge sur les terminaux qui sont activés avec Secure Work Space. Pour les terminaux Android for Work, ce paramètre s'applique uniquement aux terminaux qui utilisent Diviser la productivité. Pour les terminaux qui utilisent le BlackBerry Productivity Suite, vous devez définir une valeur pour le paramètre Messages S/MIME signés numériquement. Informations d'identification de signature Ce paramètre spécifie les identifiants que le terminal utilisera pour signer les e-mails. Ce paramètre est valide uniquement si le paramètre Signer les messages est sélectionné. Valeurs possibles : • Certificat partagé • SCEP • Informations d'identification de l'utilisateur La valeur par défaut est Certificat partagé. 306 Paramètres de profil Android : paramètre de profil Description de messagerie Certificat partagé de signature Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un terminal afin de signer des e-mails. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur Certificat partagé. SCEP de signature Ce paramètre spécifie le profil SCEP pour un certificat client utilisé par un terminal afin de signer des e-mails. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur SCEP. Informations d'identification de connexion de l'utilisateur Ce paramètre spécifie le profil d'identifiants de connexion pour un certificat client utilisé par un terminal afin de signer des e-mails. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur Identifiants de connexion d'utilisateur. Crypter les messages Ce paramètre spécifie si les terminaux cryptent les e-mails sortants à l'aide du cryptage S/ MIME. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Ce paramètre n'est pas pris en charge sur les terminaux qui sont activés avec Secure Work Space. Pour les terminaux Android for Work, ce paramètre s'applique uniquement aux terminaux qui utilisent Diviser la productivité. Pour les terminaux qui utilisent le BlackBerry Productivity Suite, vous devez définir une valeur pour le paramètre Messages S/MIME signés numériquement. Informations d'identification de cryptage Ce paramètre spécifie les identifiants que le terminal utilisera pour crypter les e-mails. Ce paramètre est valide uniquement si le paramètre Crypter les messages est sélectionné. Valeurs possibles : • Certificat partagé • SCEP • Informations d'identification de l'utilisateur La valeur par défaut est Certificat partagé. Certificat partagé de cryptage Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un terminal afin de crypter des e-mails. 307 Paramètres de profil Android : paramètre de profil Description de messagerie Ce paramètre est valide uniquement si le paramètre Identifiants de cryptage est défini sur Certificat partagé. SCEP de cryptage Ce paramètre spécifie le profil SCEP pour un certificat client utilisé par un terminal afin de crypter des e-mails. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur SCEP. Informations d'identification de l'utilisateur de cryptage Ce paramètre spécifie le profil d'identifiants de connexion pour un certificat client utilisé par un terminal afin de crypter des e-mails. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur Identifiants de connexion d'utilisateur. Exiger l'authentification par carte à puce pour la messagerie Ce paramètre spécifie si une carte à puce est requise par les terminaux Samsung KNOX pour s'authentifier auprès du serveur de messagerie. Domaines de messagerie externes Liste autorisée des domaines de messagerie externes Ce paramètre spécifie la liste de domaines vers lesquels un utilisateur peut envoyer des emails professionnels et des entrées de calendriers. Par exemple, lorsqu'un utilisateur ajoute un destinataire disposant d'une adresse électronique dans le domaine autorisé à un e-mail ou une entrée de calendrier, aucun message d'avertissement ne s'affiche. Ce paramètre s'applique à l'espace Travail uniquement. Si vous souhaitez indiquer plusieurs noms de domaine, séparez-les par une virgule (,), un point-virgule (;) ou un espace. Liste restreinte des domaines de messagerie externes Ce paramètre spécifie la liste de domaines vers lesquels les utilisateurs peuvent envoyer des e-mails professionnels et des entrées de calendriers. Par exemple, si un utilisateur tente d'ajouter un destinataire disposant d'une adresse électronique correspondant au domaine limité à un e-mail ou une invitation de calendrier, l'application Messagerie ou Calendrier ne permet pas à l'utilisateur de mener à bien cette opération. Ce paramètre s'applique à l'espace Travail uniquement. Si vous souhaitez indiquer plusieurs noms de domaine, séparez-les par une virgule (,), un point-virgule (;) ou un espace. BlackBerry Productivity Suite Ces paramètres s'appliquent uniquement aux terminaux PRIV. 308 Paramètres de profil Android : paramètre de profil Description de messagerie Effectuer la vérification OCSP Ce paramètre spécifie si les terminaux peuvent utiliser OCSP pour vérifier l'état de certificats S/MIME. Autoriser l'acceptation de certificats non approuvés Ce paramètre spécifie si les utilisateurs peuvent autoriser le terminal à accepter des certificats non approuvés. Autoriser l'envoi des évènements de télémétrie depuis le profil professionnel Ce paramètre spécifié si BlackBerry Productivity Suite permet la collecte de données d'utilisation. Type de sécurité Ce paramètre spécifie le type de sécurité utilisé par BlackBerry Productivity Suite. Valeurs possibles : • SSL • SSL-Trust All La valeur par défaut est SSL. Autoriser le partage de données entre les profils professionnel et personnel Ce paramètre indique si le profil personnel peuvent accéder aux données dans le profil de travail. Des données professionnelles et personnelles peuvent être consultées à partir de BlackBerry Hub. L'option Autoriser les applications personnelles à accéder aux données professionnelles doit aussi être sélectionnée. Autoriser les applications personnelles à accéder aux données professionnelles Ce paramètre spécifie si les applications personnelles peuvent accéder aux données professionnelles. Des données professionnelles et personnelles peuvent être consultées à partir de BlackBerry Hub. L'option Autoriser le partage de données entre les profils professionnel et personnel doit aussi être sélectionnée. Paramètres S/MIME Ces paramètres s'appliquent uniquement aux terminaux PRIV. Prise en charge S/MIME Ce paramètre spécifie si un terminal Android qui utilise BlackBerry Productivity Suite peut envoyer des e-mails protégés par S/MIME. Valeurs possibles : • Autoriser • Requise • Interdire La valeur par défaut est Autoriser. 309 Paramètres de profil Android : paramètre de profil Description de messagerie Messages S/MIME avec signature numérique Ce paramètre spécifie si un terminal Android qui utilise BlackBerry Productivity Suite envoie des e-mails sortants avec une signature numérique. Valeurs possibles : • Autoriser • Requise • Interdire La valeur par défaut est Autoriser. Messages S/MIME cryptés Ce paramètre spécifie si un terminal Android qui utilise BlackBerry Productivity Suite crypte les e-mails sortants à l'aide du cryptage S/MIME. Valeurs possibles : • Autoriser • Requise • Interdire La valeur par défaut est Autoriser. Algorithmes de cryptage S/ MIME Ce paramètre spécifie les algorithmes de cryptage qu'un terminal Android qui utilise BlackBerry Productivity Suite peut utiliser pour crypter des e-mails protégés par S/MIME. Valeurs possibles : • AES (256 bits) • AES (192 bits) • AES (128 bits) • Triple DES • ARC2 Windows : paramètres de profil de messagerie Windows : paramètre de profil de messagerie Description Paramètres de remise 310 Paramètres de profil Windows : paramètre de profil de messagerie Type de profil Description Ce paramètre spécifie si vous souhaitez que ce profil prenne en charge Exchange ActiveSync ou IBM Notes Traveler. Valeurs possibles : • Exchange ActiveSync • IBM Notes Traveler La valeur par défaut est Exchange ActiveSync. Nom du compte Ce paramètre spécifie le nom du compte de messagerie professionnel qui apparait sur le terminal Windows. Vous pouvez utiliser une variable telle que %UserEmailAddress%. Intervalle de synchronisation Ce paramètre spécifie la fréquence à laquelle un terminal Windows télécharge de nouveaux emails à partir du serveur de messagerie. Valeurs possibles : • À mesure que les éléments sont reçus • Manuel • 15 minutes • 30 minutes • 60 minutes La valeur par défaut est À mesure que les éléments sont reçus. Jours de synchronisation Ce paramètre spécifie le nombre de jours passés afin de synchroniser les e-mails et données de l'organiseur avec un terminal Windows. Valeurs possibles : • Toujours • 3 jours • 7 jours • 14 jours • 1 mois La valeur par défaut est 7 jours. Utiliser SSL Ce paramètre spécifie si un terminal Windows doit utiliser SSL pour se connecter au serveur de messagerie. Contenu à synchroniser 311 Paramètres de profil Windows : paramètre de profil de messagerie Description Adresse électronique, Ce paramètre spécifie si un terminal Windows synchronise les e-mails avec le serveur de messagerie. Contacts Ce paramètre spécifie si un terminal Windows synchronise les contacts avec le serveur de messagerie. Calendrier Ce paramètre spécifie si un terminal Windows synchronise les entrées de calendrier avec le serveur de messagerie. Tâche Ce paramètre spécifie si un terminal Windows synchronise les données des tâches avec le serveur de messagerie. Ce paramètre est valide uniquement si le paramètre Type de profil est défini sur « Exchange ActiveSync ». Paramètres de profil de messagerie IMAP/POP3 Vous pouvez utiliser une variable de paramètre de profil correspondant à un champ de texte pour faire référence à une valeur plutôt que de spécifier la valeur réelle.BES12prend en charge les variables par défaut prédéfinies et les variables personnalisées que vous définissez. Les profils de messagerie IMAP/POP3 sont pris en charge sur les types de terminaux suivants : • iOS • OS X • Android • Windows Dans certains cas, la version minimale du système d'exploitation du terminal requis pour prendre en charge un paramètre correspondant à une version non prise en charge par BES12. Pour en savoir plus sur les versions prises en charge, consultez la Matrice de compatibilité. Communs : paramètres de profil de messagerie IMAP/POP3 Commun : paramètre de profil de messagerie IMAP/ POP3 Description Type de messagerie Ce paramètre spécifie le type de serveur de messagerie. 312 Paramètres de profil Commun : paramètre de profil de messagerie IMAP/ POP3 Description Valeurs possibles : • IMAP • POP3 La valeur par défaut est IMAP. Nom d'affichage Ce paramètre spécifie le nom d'affichage du compte. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserDisplayName%. Adresse e-mail, Ce paramètre spécifie l'adresse électronique de l'utilisateur. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserEmailAddress%. Paramètres du courrier entrant Nom d'hôte ou adresse IP Ce paramètre spécifie le nom d'hôte ou l'adresse IP du serveur de messagerie pour le courrier entrant. Port Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie pour le courrier entrant. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur de l'utilisateur. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Utiliser SSL pour les e-mails entrants Ce paramètre spécifie si un terminal iOS, Android ou Windows Phone doit utiliser SSL pour se connecter au serveur de messagerie et récupérer le courrier reçu. Paramètres du courrier sortant Nom d'hôte ou adresse IP Ce paramètre spécifie le nom d'hôte ou l'adresse IP du serveur de messagerie pour le courrier sortant. Port Ce paramètre spécifie le port utilisé pour se connecter au serveur de messagerie pour le courrier sortant. Utiliser SSL pour les e-mails sortant Ce paramètre spécifie si un terminal iOS, Android ou Windows Phone doit utiliser SSL pour se connecter au serveur de messagerie pour envoyer du courrier. Authentification requise pour les e-mails sortants Ce paramètre spécifie si un terminal doit s'authentifier auprès du serveur pour envoyer du courrier. 313 Paramètres de profil Commun : paramètre de profil de messagerie IMAP/ POP3 Utiliser les mêmes informations d'identification que pour les paramètres entrants Description Ce paramètre spécifie si un terminal iOS, Android ou Windows Phone utilise les mêmes informations d'identification pour recevoir les e-mails que celles utilisées pour envoyer des emails et s'authentifier auprès du serveur de messagerie. Si un terminal n'utilise pas les mêmes informations d'identification pour recevoir les e-mails que celles utilisées pour envoyer des e-mails et s'authentifier auprès du serveur de messagerie, vous pouvez spécifier le nom d'utilisateur et le mot de passe utilisés par un terminal. Ce paramètre est valide uniquement si le paramètre Authentification requise pour les e-mails sortants est sélectionné. iOSetOS X : paramètres de profil de messagerie IMAP/POP3 OS X applique les profils aux terminaux ou comptes d'utilisateur. Les profils IMAP/POP3 sont appliqués aux comptes d'utilisateur. iOS : paramètre de profil de messagerie IMAP/POP3 Description Préfixe de chemin IMAP Ce paramètre spécifie le préfixe de chemin IMAP, si nécessaire. Si nécessaire, contactez votre FAI pour plus d'informations. Ce paramètre est valide uniquement si la valeur du paramètre Type de messagerie est définie sur IMAP. Autoriser le déplacement de messages Ce paramètre spécifie si les utilisateurs peuvent déplacer les e-mails de ce compte vers un autre compte de messagerie sur un terminal iOS. Autoriser la synchronisation des adresses récentes Ce paramètre spécifie si un utilisateur de terminal iOS peut synchroniser les adresses récemment utilisées sur les terminaux. Utiliser uniquement dans la messagerie Ce paramètre spécifie si les applications autres que l'application de messagerie d'un terminal iOS peuvent utiliser ce compte pour envoyer des e-mails. Activer S/MIME Ce paramètre spécifie si un utilisateur de terminal iOS peut envoyer des e-mails protégés par S/MIME. S/MIME est pris en charge uniquement sur les terminaux qui sont activés avec les commandes MDM. 314 Paramètres de profil iOS : paramètre de profil de messagerie IMAP/POP3 Informations d'identification de signature Description Ce paramètre spécifie les identifiants que le terminal utilisera pour signer les e-mails. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Valeurs possibles : • Certificat partagé • SCEP • Informations d'identification de l'utilisateur La valeur par défaut est Certificat partagé. Certificat partagé de signature Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un terminal afin de signer des e-mails. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur Certificat partagé. SCEP de signature Ce paramètre spécifie le profil SCEP utilisé par les terminaux pour récupérer les certificats requis pour signer les e-mails à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur SCEP. Informations d'identification de connexion de l'utilisateur Ce paramètre spécifie le profil des informations d'identification de l'utilisateur utilisé par les terminaux pour obtenir les certificats client requis pour signer les e-mails à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Identifiants de connexion est défini sur Identifiants de connexion d'utilisateur. Informations d'identification de cryptage Ce paramètre spécifie la manière dont les terminaux trouvent les certificats requis pour crypter les messages. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Valeurs possibles : • Certificat partagé • SCEP • Informations d'identification de l'utilisateur Après avoir sélectionné le type de profil, sélectionnez le profil de certificat partagé, profil SCEP ou profil des informations d'identification de l'utilisateur que vous souhaitez utiliser. Certificat partagé de cryptage Ce paramètre spécifie le profil de certificat partagé pour un certificat client utilisé par un terminal afin de crypter des e-mails. 315 Paramètres de profil iOS : paramètre de profil de messagerie IMAP/POP3 Description Les terminaux choisissent le certificat adapté au destinataire pour crypter les messages à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Identifiants de cryptage est défini sur Certificat partagé. SCEP de cryptage Ce paramètre spécifie le profil SCEP utilisé par les terminaux pour récupérer les certificats requis et crypter les e-mails à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Identifiants de cryptage est défini sur SCEP. Informations d'identification de l'utilisateur de cryptage Ce paramètre spécifie le profil des informations d'identification de l'utilisateur utilisé par les terminaux pour récupérer les certificats client requis et crypter les e-mails à l'aide de S/MIME. Ce paramètre est valide uniquement si le paramètre Identifiants de cryptage est défini sur Identifiants de connexion d'utilisateur. Crypter les messages Ce paramètre spécifie si tous les e-mails doivent être cryptés lorsque l'utilisateur les envoie (Obligatoire), ou si l'utilisateur peut choisir les e-mails à crypter au moment où il les envoie (Autoriser). Ce paramètre s'applique uniquement si le paramètre Activer S/MIME est sélectionné. Valeurs possibles : • Requise • Autoriser La valeur par défaut est Requis. L'exigence minimale est iOS version 8.0 et les terminaux doivent être activés avec les commandes MDM. Autoriser Mail Drop Ce paramètre spécifie si les utilisateurs peuvent envoyer des fichiers à partir de ce compte avec Mail Drop. L'exigence minimale est iOS version 9.0 et les terminaux doivent être activés avec les commandes MDM. 316 Paramètres de profil Android : paramètres de profil de messagerie IMAP/POP3 Android : paramètre de profil Description de messagerie IMAP/POP3 Préfixe de chemin IMAP Ce paramètre spécifie le préfixe de chemin IMAP, si nécessaire. Si nécessaire, contactez votre FAI pour plus d'informations. Ce paramètre est valide uniquement si la valeur du paramètre Type de messagerie est définie sur IMAP. Supprimer un e-mail du serveur Ce paramètre spécifie le moment où supprimer un e-mail du serveur de messagerie. Valeurs possibles : • Jamais • En cas de suppression depuis la boite de réception La valeur par défaut est Jamais. Ce paramètre est valide uniquement si la valeur du paramètre Type de messagerie est définie sur POP3. Windows : paramètres de profil de messagerie IMAP/POP3 Windows : paramètre de profil de messagerie IMAP/ POP3 Supprimer un e-mail du serveur Description Ce paramètre spécifie comment les e-mails sont traités lorsqu'un utilisateur les supprime. Les e-mails peuvent être supprimés du serveur (suppression physique) ou supprimés de la boîte de réception mais conservés dans le dossier Corbeille (suppression avec récupération possible). Valeurs possibles : • Supprimer définitivement • Supprimer (récupération possible) La valeur par défaut est Supprimer (récupération possible). Ce paramètre est valide uniquement si le paramètre Type de messagerie est défini sur IMAP. Ce paramètre est valide uniquement pour les terminaux Windows 10. Domaine Ce paramètre spécifie le nom de domaine du serveur de messagerie. 317 Paramètres de profil Windows : paramètre de profil de messagerie IMAP/ POP3 Intervalle de synchronisation Description Ce paramètre spécifie la fréquence à laquelle un terminal Windows télécharge du nouveau contenu à partir du serveur de messagerie. Valeurs possibles : • Manuel • 15 minutes • 30 minutes • 60 minutes • 2 heures La valeur par défaut est 15 minutes. Montant de récupération initial Ce paramètre spécifie le nombre de jours passés afin de synchroniser les e-mails et données de l'organiseur avec un terminal Windows. Valeurs possibles : • Toutes • 7 jours • 14 jours • 30 jours La valeur par défaut est 7 jours. Utiliser uniquement le réseau cellulaire et non Wi-Fi Ce paramètre indique si des e-mails sont envoyés et reçus uniquement sur le réseau mobile. Ce paramètre est valide uniquement pour les terminaux Windows 10. Paramètres du profil SCEP Vous pouvez utiliser une variable de paramètre de profil correspondant à un champ de texte pour faire référence à une valeur plutôt que de spécifier la valeur réelle.BES12prend en charge les variables par défaut prédéfinies et les variables personnalisées que vous définissez. Les profils SCEP sont pris en charge sur les types de terminaux suivants : • BlackBerry 10 • iOS • OS X 318 Paramètres de profil • Android avec Secure Work Space, Samsung KNOX et Android for Work. • Windows 10 Dans certains cas, la version minimale du système d'exploitation du terminal requis pour prendre en charge un paramètre correspondant à une version non prise en charge par BES12. Pour plus d'informations sur les versions de système d'exploitation prises en charge, reportez-vous à la matrice de compatibilité. Communs : paramètres de profil SCEP Commun : paramètre de profil SCEP URL Description Ce paramètre spécifie l'URL du service SCEP. L'URL doit inclure le protocole, le FQDN, le numéro de port et le chemin SCEP (chemin CGI défini dans la spécification SCEP). Vous devez définir la valeur de ce paramètre pour bien activer un terminal. Les URL HTTPS SCEP sont prises en charge par les terminaux iOS et BlackBerry 10 OS version 10.3.0 ou ultérieure. Nom de l'instance Ce paramètre spécifie le nom de l'instance CA. La valeur peut correspondre à n'importe quelle chaine comprise par le service SCEP. Par exemple, il peut s'agir d'un nom de domaine comme exemple.org. Si une autorité de certification dispose de plusieurs certificats d'autorité de certification, ce champ permet de distinguer le certificat requis. Connexion à l'autorité de certification Ce paramètre spécifie si l'autorité de certification est Entrust ou une autre autorité de certification. Si vous avez configuré une ou plusieurs connexions avec le logiciel Entrust de votre entreprise, vous pouvez sélectionner l'une des connexions dans la liste déroulante. Sélectionnez Générique si vous utilisez une autre autorité de certification. Si vous sélectionnez une connexion Entrust vous devez ensuite sélectionner le profil PKI approprié et spécifier les valeurs nécessaires. Les profils disponibles varient en fonction de ce que l'administrateur de Entrust a configuré dans le logiciel PKI. La valeur par défaut est Générique. Type de challenge SCEP Ce paramètre spécifie si le mot de passe de vérification SCEP est généré de manière dynamique ou fourni en tant que mot de passe statique. Si ce paramètre est défini sur Statique, chaque terminal utilise le même mot de passe de vérification. Si ce paramètre est défini sur Dynamique, chaque terminal reçoit un mot de passe de vérification unique. Valeurs possibles : • Statique • Dynamique 319 Paramètres de profil Commun : paramètre de profil SCEP Description La valeur par défaut est Dynamique. Pour les terminaux Windows, seuls les mots de passe Statiques sont pris en charge. URL de génération d'un mot de passe de vérification Ce paramètre spécifie l'URL utilisée par les terminaux pour obtenir un mot de passe généré de manière dynamique à partir du service SCEP. L'URL doit inclure le protocole, le FQDN, le numéro de port et le chemin SCEP (chemin CGI défini dans la spécification SCEP). Si vous utilisez un mot de passe de vérification dynamique, vous devez définir une valeur pour correctement activer les terminaux BlackBerry 10. Ce paramètre est valide uniquement si le paramètre Type de challenge SCEP est défini sur Dynamique. Type d'authentification Ce paramètre spécifie le type d'authentification utilisé par les terminaux pour se connecter au service SCEP et obtenir un mot de passe de vérification. Ce paramètre est valide uniquement si le paramètre Type de challenge SCEP est défini sur Dynamique. Valeurs possibles : • De base • NTLM La valeur par défaut est De base. Domaine Ce paramètre spécifie le domaine utilisé pour l'authentification NTLM lorsque les terminaux se connectent au service SCEP afin d'obtenir un mot de passe de vérification. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur NTLM. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur requis pour obtenir un mot de passe de vérification à partir du service SCEP. Ce paramètre est valide uniquement si le paramètre Type de challenge SCEP est défini sur Dynamique. Mot de passe, Ce paramètre spécifie le mot de passe requis pour obtenir le mot de passe de vérification à partir du service SCEP. Ce paramètre est valide uniquement si le paramètre Type de challenge SCEP est défini sur Dynamique. 320 Paramètres de profil Commun : paramètre de profil SCEP Mot de passe de vérification Description Ce paramètre spécifie le mot de passe de vérification utilisé par un terminal pour inscrire le certificat. Si vous utilisez un mot de passe de vérification statique, vous devez définir la valeur de ce paramètre pour bien activer les terminaux BlackBerry 10. Ce paramètre est valide uniquement si le paramètre Type de challenge SCEP est défini sur Statique. BlackBerry 10 : paramètres de profil SCEP BlackBerry 10 : paramètre de Description profil SCEP Utiliser un objet par défaut de terminal et un autre nom d'objet Ce paramètre spécifie si un terminal BlackBerry 10 génère l'objet et l'autre nom d'objet d'une demande de certificat. Si ce paramètre n'est pas sélectionné, vous devez spécifier l'objet et l'autre nom d'objet ainsi que la valeur. Objet Ce paramètre spécifie l'objet du certificat, si requis pour la configuration SCEP de votre organisation. Saisissez l'objet au format « /CN=<common_name>/O=<domain_name> » Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable (%UserDistinguisedName%, par exemple). Ce paramètre est valide uniquement si le paramètre Utiliser un objet par défaut de terminal et un autre nom d'objet n'est pas sélectionné. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. SAN Ce paramètre spécifie le type d'autre nom d'objet et la valeur d'un certificat. Ce paramètre est valide uniquement si le paramètre Utiliser un objet par défaut de terminal et un autre nom d'objet n'est pas sélectionné. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Type SAN Ce paramètre spécifie le type d'autre nom d'objet du certificat, si nécessaire. Valeurs possibles : • Nom RFC 822 • URI • Nom principal NT • Nom DNS La valeur par défaut est Nom RFC 822. 321 Paramètres de profil BlackBerry 10 : paramètre de Description profil SCEP Valeur SAN Ce paramètre spécifie l'autre représentation de l'objet de certificat. La valeur doit correspondre à une adresse électronique, le nom DNS du serveur CA, l'URL complète du serveur ou le nom principal. Le paramètre Type SAN détermine le type de valeur que vous spécifiez. Si cette option est définie sur «Nom RFC822», la valeur doit correspondre à une adresse électronique valide. Si cette option est définie sur « URI », la valeur doit correspondre à une URL valide incluant le protocole et le FQDN ou l'adresse IP. Si cette option est définie sur Nom principal, la valeur doit correspondre à un nom principal valide. Si cette option est définie sur «Nom DNS», la valeur doit correspondre à un FQDN valide. Algorithme de clé Ce paramètre spécifie l'algorithme utilisé par un terminal BlackBerry 10 pour générer la paire de clés client. Vous devez sélectionner un algorithme pris en charge par votre autorité de certification. Valeurs possibles : • Aucune • RSA • ECC La valeur par défaut est RSA. Puissance RSA Ce paramètre spécifie la force BlackBerry 10 utilisée par un terminal RSA pour générer la paire de clés client. Vous devez saisir une force de clé prise en charge par votre autorité de certification. Ce paramètre est valide uniquement si le paramètre Algorithme de clé est défini sur RSA. Valeurs possibles : • 1024 • 2048 • 4096 • 8192 • 16384 La valeur par défaut est 1 024. Puissance ECC Ce paramètre spécifie la courbe elliptique utilisée par un terminal BlackBerry 10 pour générer la paire de clés client. La courbe elliptique définit la force de la paire de clés client. Vous devez sélectionner une courbe elliptique prise en charge par votre autorité de certification. Ce paramètre est valide uniquement si le paramètre Algorithme de clé est défini sur ECC. 322 Paramètres de profil BlackBerry 10 : paramètre de Description profil SCEP Valeurs possibles : • sect163k1 • sect283k1 • secp192r1 • secp256r1 • secp384r1 • secp521r1 La valeur par défaut est secp521r1. Algorithme de cryptage Ce paramètre spécifie l'algorithme de cryptage utilisé par un terminal BlackBerry 10 pour la demande d'inscription de certificat. Valeurs possibles : • Aucune • Triple DES • AES (128 bits) • AES (196 bits) • AES (256 bits) La valeur par défaut est Triple DES. Fonction de hachage Ce paramètre spécifie la fonction de hachage utilisée par un terminal BlackBerry 10 pour la demande d'inscription de certificat. Valeurs possibles : • Aucune • SHA-1 • SHA-224 • SHA-256 • SHA-384 • SHA-512 La valeur par défaut est SHA-1. Empreinte de certificat Ce paramètre spécifie le hachage codé au format hexadécimal du certificat racine de l'autorité de certification. Vous pouvez utiliser les algorithmes suivants pour spécifier 323 Paramètres de profil BlackBerry 10 : paramètre de Description profil SCEP l'empreinte : MD5, SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. Vous devez définir la valeur de ce paramètre pour bien activer un terminal BlackBerry 10. Renouvellement automatique Ce paramètre spécifie le nombre de jours avant renouvellement automatique d'un certificat qui arrive à expiration. Les valeurs possibles sont comprises entre 1 et 999 999 999 jours. La valeur par défaut est 30. Utilisation de la clé Ce paramètre spécifie les opérations cryptographiques pouvant être effectuées à l'aide de la clé publique contenue dans le certificat. Sélections possibles : • Signature numérique • Non-répudiation • Cryptage de clé • Cryptage de données • Accord de la clé • Signature du certificat clé • Signature CRL • Crypter uniquement • Décrypter uniquement Les sélections par défaut sont Signature numérique, Cryptage de clé et Accord de la clé. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Utilisation étendue de la clé Ce paramètre spécifie l'objectif de la clé contenue dans le certificat. Sélections possibles : • Authentification du serveur • Authentification du client • Signature de code • Protection des e-mails • Horodatage • Signature OCSP • Client Secure Shell • Serveur Secure Shell 324 Paramètres de profil BlackBerry 10 : paramètre de Description profil SCEP La sélection par défaut est Authentification du client. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. iOS : paramètres de profil SCEP iOS : paramètre de profil SCEP Description Utiliser BES12 comme proxy pour les demandes SCEP Ce paramètre spécifie si toutes les demandes SCEP des terminaux sont envoyées via BES12. Si l'autorité de certification se situe derrière votre pare-feu, ce paramètre vous permet d'inscrire des certificats client pour les terminaux sans exposer l'autorité de certification en dehors du pare-feu. Objet Ce paramètre spécifie l'objet du certificat, si requis pour la configuration SCEP de votre organisation. Saisissez l'objet au format « /CN=<common_name>/O=<domain_name> » Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable (%UserDistinguisedName%, par exemple). Nouvelles tentatives Ce paramètre spécifie le nombre de nouvelles tentatives de connexion au service SCEP si la tentative de connexion échoue. Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est 3. Délai de nouvelle tentative Ce paramètre spécifie le délai d'attente, en secondes, avant une nouvelle tentative de connexion au service SCEP. Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est de 10 secondes. Taille de la clé Ce paramètre spécifie la taille de la clé du certificat. Valeurs possibles : • 1024 • 2048 La valeur par défaut est 1 024. Utiliser comme signature numérique Ce paramètre spécifie si le certificat inscrit peut être utilisé pour les signatures numériques. 325 Paramètres de profil iOS : paramètre de profil SCEP Description Utiliser pour le cryptage de clé Ce paramètre spécifie si le certificat inscrit peut être utilisé pour le cryptage. Empreinte Ce paramètre spécifie l'empreinte d'inscription d'un certificat SCEP. Si votre autorité de certification utilise HTTP plutôt que HTTPS, les terminaux utilisent l'empreinte pour confirmer l'identité de l'autorité de certification lors du processus d'inscription. L'empreinte digitale ne peut pas contenir d'espace. Type SAN Ce paramètre spécifie le type d'autre nom d'objet du certificat, si nécessaire. Valeurs possibles : • Aucune • Nom RFC822 • Nom DNS • Uniform Resource Identifier (Identificateur de ressources uniformes) La valeur par défaut est Aucune. Valeur SAN Ce paramètre spécifie l'autre représentation de l'objet du certificat. La valeur doit correspondre à une adresse électronique, le nom DNS du serveur CA ou l'URL complète du serveur. Le paramètre Type SAN détermine le type de valeur que vous spécifiez. Si cette option est définie sur «Nom RFC822», la valeur doit correspondre à une adresse électronique valide. Si cette option est définie sur « URI », la valeur doit correspondre à une URL valide incluant le protocole et le FQDN ou l'adresse IP. Si cette option est définie sur Nom principal, la valeur doit correspondre à un nom principal valide. Si cette option est définie sur «Nom DNS», la valeur doit correspondre à un FQDN valide. Nom principal NT Ce paramètre spécifie le Nom principal NT pour la génération du certificat. Ce paramètre est valide uniquement si le paramètre Type SAN est défini sur un autre paramètre que Aucun. Renouvellement automatique Ce paramètre spécifie le nombre de jours avant renouvellement automatique d'un certificat qui arrive à expiration. Les valeurs possibles sont 1 à 365. La valeur par défaut est 30 jours. Algorithme de cryptage Ce paramètre spécifie l'algorithme de cryptage utilisé par un terminal iOS pour la demande d'inscription de certificat. 326 Paramètres de profil iOS : paramètre de profil SCEP Description Valeurs possibles : • Aucune • Triple DES • AES (128 bits) • AES (196 bits) • AES (256 bits) La valeur par défaut est Triple DES. Fonction de hachage Ce paramètre spécifie la fonction de hachage utilisée par un terminal iOS pour la demande d'inscription de certificat. Valeurs possibles : • Aucune • SHA-1 • SHA-224 • SHA-256 • SHA-384 • SHA-512 La valeur par défaut est SHA-1. OS X : paramètres de profil SCEP OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil SCEP à appliquer à l'un ou à l'autre. OS X : paramètre de profil SCEP Description Utiliser BES12 comme proxy pour les demandes SCEP Ce paramètre spécifie si toutes les demandes SCEP des terminaux sont envoyées via BES12. Si l'autorité de certification se situe derrière votre pare-feu, ce paramètre vous permet d'inscrire des certificats client pour les terminaux sans exposer l'autorité de certification en dehors du pare-feu. Appliquer le profil à Ce paramètre indique si le profil SCEP est appliqué au compte d'utilisateur ou au terminal. Valeurs possibles : 327 Paramètres de profil OS X : paramètre de profil SCEP Description • Utilisateur • Terminal Objet Ce paramètre spécifie l'objet du certificat, si requis pour la configuration SCEP de votre organisation. Saisissez l'objet au format « /CN=<common_name>/O=<domain_name> » Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable (%UserDistinguisedName%, par exemple). Nouvelles tentatives Ce paramètre spécifie le nombre de nouvelles tentatives de connexion au service SCEP si la tentative de connexion échoue. Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est 3. Délai de nouvelle tentative Ce paramètre spécifie le délai d'attente, en secondes, avant une nouvelle tentative de connexion au service SCEP. Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est de 10 secondes. Taille de la clé Ce paramètre spécifie la taille de la clé du certificat. Valeurs possibles : • 1024 • 2048 La valeur par défaut est 1 024. Empreinte Ce paramètre spécifie l'empreinte d'inscription d'un certificat SCEP. Si votre autorité de certification utilise HTTP plutôt que HTTPS, les terminaux utilisent l'empreinte pour confirmer l'identité de l'autorité de certification lors du processus d'inscription. L'empreinte digitale ne peut pas contenir d'espace. Type SAN Ce paramètre spécifie le type d'autre nom d'objet du certificat, si nécessaire. Valeurs possibles : • Aucune • Nom RFC822 • Nom DNS • Uniform Resource Identifier (Identificateur de ressources uniformes) 328 Paramètres de profil OS X : paramètre de profil SCEP Description La valeur par défaut est Aucune. Valeur SAN Ce paramètre spécifie l'autre représentation de l'objet du certificat. La valeur doit correspondre à une adresse électronique, le nom DNS du serveur CA ou l'URL complète du serveur. Le paramètre Type SAN détermine le type de valeur que vous spécifiez. Si cette option est définie sur «Nom RFC822», la valeur doit correspondre à une adresse électronique valide. Si cette option est définie sur URI, la valeur doit correspondre à une URL valide incluant le protocole et le FQDN ou l'adresse IP. Si cette option est définie sur Nom principal, la valeur doit correspondre à un nom principal valide. Si cette option est définie sur Nom DN, la valeur doit correspondre à un FQDN valide. Nom principal NT Ce paramètre spécifie le Nom principal NT pour la génération du certificat. Ce paramètre est valide uniquement si le paramètre Type SAN est défini sur un autre paramètre que Aucun. Android : paramètres de profil SCEP Les terminaux Android doivent être activés avec le type d'activation « Travail et Personnel - Contrôle total » ou « Travail et Personnel - Confidentialité de l'utilisateur » pour utiliser des profils SCEP. Pour obtenir un exemple de profil SCEP pour les terminaux Android, rendez-vous sur http://support.blackberry.com/ pour lire l'article KB38248. Android : paramètre de profil Description SCEP Algorithme de cryptage Ce paramètre spécifie l'algorithme de cryptage utilisé par un terminal Android pour la demande d'inscription de certificat. Valeurs possibles : • Aucune • Triple DES • AES (128 bits) • AES (196 bits) • AES (256 bits) La valeur par défaut est Triple DES. 329 Paramètres de profil Android : paramètre de profil Description SCEP Fonction de hachage Ce paramètre spécifie la fonction de hachage utilisée par un terminal Android pour la demande d'inscription de certificat. Valeurs possibles : • Aucune • SHA-1 • SHA-224 • SHA-256 • SHA-384 • SHA-512 La valeur par défaut est SHA-1. Empreinte de certificat Ce paramètre spécifie le hachage codé au format hexadécimal du certificat racine de l'autorité de certification. Vous pouvez utiliser les algorithmes suivants pour spécifier l'empreinte : SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. Vous devez définir la valeur de ce paramètre pour activer les terminaux utilisant Android for Work ou Samsung KNOX. Renouvellement automatique Ce paramètre spécifie le nombre de jours avant renouvellement automatique d'un certificat qui arrive à expiration. Les valeurs possibles sont 1 à 365. La valeur par défaut est 30. Android for Work / Samsung KNOX Objet Ce paramètre spécifie l'objet du certificat, si requis pour la configuration SCEP de votre organisation. Saisissez l'objet au format « /CN=<nom_commun>/O=<nom_domaine> ». Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable (par exemple, %UserDistinguisedName%). Type SAN Ce paramètre spécifie le type d'autre nom d'objet du certificat, si nécessaire. Valeurs possibles : • Nom RFC 822 • Uniform Resource Identifier (Identificateur de ressources uniformes) • Nom principal NT • Nom DNS La valeur par défaut est Nom RFC 822. 330 Paramètres de profil Android : paramètre de profil Description SCEP Valeur SAN Ce paramètre spécifie l'autre représentation de l'objet de certificat. La valeur doit correspondre à une adresse électronique, le nom DNS du serveur CA, l'URL complète du serveur ou le nom principal. Le paramètre Type SAN détermine le type de valeur que vous spécifiez. Si cette option est définie sur «Nom RFC822», la valeur doit correspondre à une adresse électronique valide. Si cette option est définie sur « URI », la valeur doit correspondre à une URL valide incluant le protocole et le FQDN ou l'adresse IP. Si cette option est définie sur Nom principal, la valeur doit correspondre à un nom principal valide. Si cette option est définie sur «Nom DNS», la valeur doit correspondre à un FQDN valide. Algorithme de clé Ce paramètre spécifie l'algorithme utilisé par les terminaux Android for Work ouSamsung KNOX pour générer la paire de clés client. Vous devez sélectionner un algorithme pris en charge par votre autorité de certification. Valeurs possibles : • Aucune • RSA • ECC La valeur par défaut est RSA. Puissance RSA Ce paramètre spécifie la puissance RSA utilisée par les terminaux Android for Work ou Samsung KNOX pour générer la paire de clés client. Vous devez saisir une force de clé prise en charge par votre autorité de certification. Ce paramètre est valide uniquement si le paramètre Algorithme de clé est défini sur RSA. Valeurs possibles : • 1024 • 2048 • 4096 • 8192 • 16384 La valeur par défaut est 1 024. Utilisation de la clé Ce paramètre spécifie les opérations cryptographiques pouvant être effectuées à l'aide de la clé publique contenue dans le certificat. Sélections possibles : 331 Paramètres de profil Android : paramètre de profil Description SCEP • Signature numérique • Non-répudiation • Cryptage de clé • Cryptage de données • Accord de la clé • Signature du certificat clé • Signature CRL • Crypter uniquement • Décrypter uniquement Les sélections par défaut sont Signature numérique, Cryptage de clé et Accord de la clé. Utilisation étendue de la clé Ce paramètre spécifie l'objectif de la clé contenue dans le certificat. Sélections possibles : • Authentification du serveur • Authentification du client • Signature de code • Protection des e-mails • Horodatage • Signature OCSP • Client Secure Shell • Serveur Secure Shell La sélection par défaut est Authentification du client. Secure Work Space Utiliser BES12 comme proxy pour les demandes SCEP Ce paramètre spécifie si toutes les demandes SCEP des terminaux sont envoyées via BES12. Si l'autorité de certification se situe derrière votre pare-feu, ce paramètre vous permet d'inscrire des certificats client pour les terminaux sans exposer l'autorité de certification en dehors du pare-feu. Objet (Secure Work Space) Ce paramètre spécifie l'objet du certificat, si requis pour la configuration SCEP de votre organisation. Saisissez l'objet au format « /CN=<nom_commun>/O=<nom_domaine> ». Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable (par exemple, %UserDistinguisedName%). 332 Paramètres de profil Android : paramètre de profil Description SCEP Nouvelles tentatives Ce paramètre spécifie le nombre de nouvelles tentatives de connexion au service SCEP si la tentative de connexion échoue. Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est 3. Délai de nouvelle tentative Ce paramètre spécifie le délai d'attente, en secondes, avant une nouvelle tentative de connexion au service SCEP. Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est de 10 secondes. Taille de la clé Ce paramètre spécifie la taille de la clé du certificat. Valeurs possibles : • 1024 • 2048 • 4096 • 8192 • 16384 La valeur par défaut est 1 024. Utiliser comme signature numérique Ce paramètre spécifie si le certificat inscrit peut être utilisé pour les signatures numériques. Utiliser pour le cryptage de clé Ce paramètre spécifie si le certificat inscrit peut être utilisé pour le cryptage. Type SAN Ce paramètre spécifie le type d'autre nom d'objet du certificat, si nécessaire. Valeurs possibles : • Aucune • Nom RFC 822 • Nom DNS • Uniform Resource Identifier (Identificateur de ressources uniformes) La valeur par défaut est Aucune. 333 Paramètres de profil Android : paramètre de profil Description SCEP Valeur SAN Ce paramètre spécifie l'autre représentation de l'objet du certificat. La valeur doit correspondre à une adresse électronique, le nom DNS du serveur CA ou l'URL complète du serveur. Le paramètre Autre nom d'objet affecte ce paramètre. La valeur appropriée pour ce paramètre dépend de la valeur sélectionnée pour le paramètre Type SAN. Nom principal NT Ce paramètre spécifie le Nom principal NT pour la génération du certificat. Le paramètre Autre nom d'objet affecte ce paramètre. La valeur appropriée pour ce paramètre dépend de la valeur sélectionnée pour le paramètre Type SAN. Windows 10 : paramètres de profil SCEP Windows 10 : paramètre de profil SCEP Description Objet Ce paramètre spécifie l'objet du certificat, si requis pour la configuration SCEP de votre organisation. Saisissez l'objet au format « /CN=<nom_commun>/O=<nom_domaine> ». Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser une variable (par exemple, %UserDistinguisedName%). Type SAN Ce paramètre spécifie le type d'autre nom d'objet du certificat, si nécessaire. Valeurs possibles : • Aucune • Nom RFC 822 • Nom DNS • Uniform Resource Identifier (Identificateur de ressources uniformes) La valeur par défaut est Aucune. Valeur SAN Ce paramètre spécifie l'autre représentation de l'objet du certificat. La valeur doit correspondre à une adresse électronique, le nom DNS du serveur CA ou l'URL complète du serveur. La valeur appropriée pour ce paramètre dépend de la valeur sélectionnée pour le paramètre Type SAN. Nouvelles tentatives Ce paramètre spécifie le nombre de nouvelles tentatives de connexion au service SCEP si la tentative de connexion échoue. 334 Paramètres de profil Windows 10 : paramètre de profil SCEP Description Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est 3. Délai de nouvelle tentative Ce paramètre spécifie le délai d'attente, en secondes, avant une nouvelle tentative de connexion au service SCEP. Les valeurs possibles sont comprises entre 1 et 999. La valeur par défaut est de 10 secondes. Taille de la clé Ce paramètre spécifie la taille de la clé du certificat. Valeurs possibles : • 1024 • 2048 • 4096 • 8192 • 16384 La valeur par défaut est 1 024. Utilisation de la clé Ce paramètre spécifie les opérations cryptographiques pouvant être effectuées à l'aide de la clé publique contenue dans le certificat. • Signature numérique • Non-répudiation • Cryptage de clé • Cryptage de données • Accord de la clé • Signature du certificat clé • Signature CRL • Crypter uniquement Les sélections par défaut sont Signature numérique, Cryptage de clé et Accord de la clé. Utilisation étendue de la clé Ce paramètre spécifie l'objectif de la clé contenue dans le certificat. • Authentification du serveur • Authentification du client 335 Paramètres de profil Windows 10 : paramètre de profil SCEP Description • Signature de code • Protection des e-mails • Horodatage • Signature OCSP • Client Secure Shell • Serveur Secure Shell La sélection par défaut est Authentification du client. Fonction de hachage Ce paramètre spécifie la fonction de hachage utilisée par un terminal Windows 10 pour la demande d'inscription de certificat. Valeurs possibles : • SHA-1 • SHA-224 • SHA-256 • SHA-384 • SHA-512 La valeur par défaut est SHA-1. Empreinte de certificat Ce paramètre spécifie le hachage codé au format hexadécimal du certificat racine de l'autorité de certification. Vous pouvez utiliser les algorithmes suivants pour spécifier l'empreinte : SHA-1, SHA-224, SHA-256, SHA-384 et SHA-512. Renouvellement automatique Ce paramètre spécifie le nombre de jours avant renouvellement automatique d'un certificat qui arrive à expiration. Les valeurs possibles sont 1 à 365. La valeur par défaut est 30. Paramètres du profil Wi-Fi Vous pouvez utiliser une variable de paramètre de profil correspondant à un champ de texte pour faire référence à une valeur plutôt que de spécifier la valeur réelle.BES12prend en charge les variables par défaut prédéfinies et les variables personnalisées que vous définissez.Les profilsWi-Fisont pris en charge sur les types de terminaux suivants : 336 Paramètres de profil • BlackBerry 10 • iOS • OS X • Android • Windows Dans certains cas, la version minimale du système d'exploitation du terminal requis pour prendre en charge un paramètre correspondant à une version non prise en charge par BES12. Pour plus d'informations sur les versions de système d'exploitation prises en charge, reportez-vous à la matrice de compatibilité. Communs : paramètres de profil Wi-Fi Commun : paramètre de profil Wi-Fi SSID Description Ce paramètre spécifie le nom d'un réseau Wi-Fi et ses points d'accès sans fil. Le SSID est sensible à la casse et doit contenir des caractères alphanumériques. Les valeurs possibles sont limitées à 32 caractères. Réseau masqué Ce paramètre spécifie si le réseau Wi-Fi masque le SSID. BlackBerry 10 : paramètres de profil Wi-Fi BlackBerry 10 : paramètre de Description profil Wi-Fi Type de sécurité Ce paramètre indique le type de sécurité utilisé par le réseau Wi-Fi. Valeurs possibles : • Aucune • WEP personnel • WPA personnel • WPA entreprise • WPA2-Personal • WPA2 entreprise La valeur par défaut est Aucune. 337 Paramètres de profil BlackBerry 10 : paramètre de Description profil Wi-Fi Clé WEP Ce paramètre spécifie la clé WEP du réseau Wi-Fi. La clé WEP doit contenir 10 ou 26 caractères hexadécimaux (0-9, A-F) ou 5 ou 13 caractères alphanumériques (0-9, A-Z). Exemples de valeurs de clés hexadécimales : ABCDEF0123 ou ABCDEF0123456789ABCDEF0123. Exemples de valeurs de clés alphanumériques : abCD5 ou abCDefGHijKL1. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP personnel. Type de clé pré-partagée Ce paramètre spécifie le type de clé pré-partagée du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA personnel ou WPA2-Personal. Valeurs possibles : • ASCII • HEX La valeur par défaut est ASCII. Clé pré-partagée Ce paramètre spécifie la clé pré-partagée du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA personnel ou WPA2-Personal. Les valeurs possibles sont limitées à 64 caractères. Protocole d'authentification Ce paramètre spécifie la méthode EAP utilisée par le réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA entreprise ou WPA2 entreprise. Valeurs possibles : • PEAP • TTLS • EAP-FAST • TLS La valeur par défaut est PEAP. Authentification interne Ce paramètre spécifie la méthode d'authentification interne utilisée avec un tunnel TLS. Si vous souhaitez utiliser PAP pour l'authentification interne, définissez ce paramètre sur Auto. 338 Paramètres de profil BlackBerry 10 : paramètre de Description profil Wi-Fi Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur PEAP ou TTLS. Valeurs possibles : • Auto • MS-CHAPv2 • GTC La valeur par défaut est Auto. Méthode de déploiement EAP-FAST Ce paramètre spécifie la méthode de déploiement pour l'authentification EAP-FAST. Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur EAP-FAST. Valeurs possibles : • Anonyme • Authentifié La valeur par défaut est Anonyme. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal BlackBerry 10 pour s'authentifier auprès du réseau Wi-Fi. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur PEAP, TTLS, EAP-FAST ou TLS. Mot de passe, Ce paramètre spécifie le mot de passe utilisé par un terminal BlackBerry 10 pour s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur PEAP, TTLS ou EAP-FAST. Type de bande Ce paramètre spécifie la bande de fréquence utilisée par le réseau Wi-Fi. Valeurs possibles : • Dual • 2,4 GHz • 5,0 GHz La valeur par défaut est Dual. 339 Paramètres de profil BlackBerry 10 : paramètre de Description profil Wi-Fi Activer DHCP Ce paramètre spécifie si le réseau Wi-Fi utilise le DHCP. Adresse IP Ce paramètre spécifie l'adresse IP de l'hôte pour le réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Activer DHCP n'est pas sélectionné. Masque de sous-réseau Ce paramètre spécifie le masque de sous-réseau au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre est valide uniquement si le paramètre Activer DHCP n'est pas sélectionné. DNS primaire Ce paramètre spécifie le serveur DNS primaire au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre est valide uniquement si le paramètre Activer DHCP n'est pas sélectionné. DNS secondaire Ce paramètre spécifie le serveur DNS secondaire au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre est valide uniquement si le paramètre Activer DHCP n'est pas sélectionné. Passerelle par défaut Ce paramètre spécifie la passerelle par défaut au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre est valide uniquement si le paramètre Activer DHCP n'est pas sélectionné. Suffixe de domaine Ce paramètre spécifie l'FQDN du suffixe DNS. Ce paramètre est valide uniquement si le paramètre Activer DHCP n'est pas sélectionné. Activer IPv6 Ce paramètre spécifie si le réseau Wi-Fi prend en charge IPv6. Activer le transfert entre points d'accès Ce paramètre indique si un terminal BlackBerry 10 peut effectuer des transferts de Wi-Fi entre des points d'accès sans fil. Modifiable par l'utilisateur Ce paramètre spécifie les paramètres Wi-Fi qu'un utilisateur de terminal BlackBerry 10 peut modifier. Si ce paramètre est défini sur Lecture seule, l'utilisateur ne peut pas modifier les paramètres. Si ce paramètre est défini sur Informations d'identification uniquement, l'utilisateur peut modifier le nom d'utilisateur et le mot de passe. Valeurs possibles : • Lecture seule • Informations d'identification uniquement La valeur par défaut est Lecture seule. 340 Paramètres de profil BlackBerry 10 : paramètre de Description profil Wi-Fi Niveau de sécurité des données Ce paramètre spécifie le domaine de l'espace Travail où le profil Wi-Fi est stocké lorsque l'espace Travail utilise la protection avancée des données inactives. Ce paramètre est uniquement valide si la règle de stratégie informatique « Appliquer la protection avancée des données inactives » est sélectionnée. Si ce paramètre est défini sur Toujours disponible, le profil est stocké dans le domaine de démarrage et disponible lorsque l'espace Travail est verrouillé. Si ce paramètre est défini sur Disponible après authentification, le profil est stocké dans le domaine opérationnel et disponible lorsque l'espace Travail est déverrouillé une fois jusqu'à ce que le terminal redémarre. Si ce paramètre est défini sur Disponible uniquement lorsque l'espace Travail est déverrouillé, le profil est stocké dans le domaine de verrouillage et peut être utilisé pour les connexionsWi-Fi uniquement lorsque l'espace Travail est déverrouillé. Valeurs possibles : • Toujours disponible • Disponible après authentification • Disponible uniquement lorsque l'espace Travail est déverrouillé La valeur par défaut est Toujours disponible. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Imposer TLS 1.2 Ce paramètre indique si les terminaux BlackBerry 10 doivent utiliser TLS 1.2 pour la communication sur le réseau Wi-Fi. Valeurs possibles : • O • I La valeur par défaut est « Off ». La configuration minimale requise est BlackBerry 10 OS version 10.3.3. Se fier Source du certificat client Ce paramètre spécifie la manière dont les terminaux BlackBerry 10 obtiennent le certificat client. Quatre options permettent aux terminaux d'obtenir des certificats client : • Si vous choisissez SCEP, vous devez également spécifier le profil SCEP associé que le terminal peut utiliser pour télécharger le certificat client. • Si vous choisissez Informations d'identification de l'utilisateur, vous devez également spécifier le profil des informations d'identification de l'utilisateur associé que le terminal peut utiliser pour télécharger le certificat client. 341 Paramètres de profil BlackBerry 10 : paramètre de Description profil Wi-Fi • Si vous choisissez Carte à puce, l'utilisateur doit coupler le terminal avec une carte à puce contenant le certificat client. • Si vous choisissez Autre, l'utilisateur doit manuellement ajouter le certificat client au terminal. Les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure prennent en charge la carte à puce. Valeurs possibles : • Carte à puce • SCEP • Informations d'identification de l'utilisateur • Autre La valeur par défaut est Autre. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un BlackBerry 10 terminal pour inscrire un certificat client et s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Source du certificat client est défini sur SCEP. Profil des informations Ce paramètre spécifie le profil des informations d'identification de l'utilisateur associé utilisé d'identification de l'utilisateur par un terminal BlackBerry 10 pour inscrire un certificat client et s'authentifier auprès du associé réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Source du certificat client est défini sur Informations d'identification de l'utilisateur. La configuration minimale pour utiliser un profil des informations d'identification de l'utilisateur est BlackBerry 10 OS version 10.3.1. Source du certificat approuvé Ce paramètre spécifie la source du certificat approuvé. Si ce paramètre est défini sur Magasin de certificats approuvé, le terminal BlackBerry 10 peut se connecter à un réseau Wi-Fi utilisant un certificat du magasin de certificats Wi-Fi. Valeurs possibles : • Aucune • Magasin de certificats approuvés La valeur par défaut est Aucune. Profils associés 342 Paramètres de profil BlackBerry 10 : paramètre de Description profil Wi-Fi Utiliser un profil de connectivité d'entreprise avec une connexion BlackBerry Secure Connect Plus pour les données professionnelles Ce paramètre spécifie si tout le trafic de l'espace Travail est dirigé via BlackBerry Secure Connect Plus, y compris lorsque les terminaux BlackBerry 10 peuvent accéder au réseau WiFi professionnel. Si ce paramètre n'est pas sélectionné, lorsque vous configurez un profil WiFiet l'attribuez aux terminaux BlackBerry 10, les terminaux classent par ordre de priorité le réseau Wi-Fi professionnel au-dessus de BlackBerry Secure Connect Plus pour le trafic de l'espace Travail. Si vous souhaitez utiliser cette fonctionnalité, dans la stratégie informatique attribuée aux utilisateurs de terminaux BlackBerry 10, vérifiez que la règle de stratégie informatique Forcer le contrôle d'accès au réseau pour les applications professionnelles n'est pas sélectionnée. Ce paramètre peut avoir une incidence sur l'utilisation des données de votre entreprise et les frais de réseau. Vérifiez qu'il s'agit de la configuration privilégiée par votre entreprise avant d'utiliser cette fonctionnalité. La configuration minimale requise est BlackBerry 10 OS version 10.3.2. Profil VPN associé Ce paramètre spécifie le profil VPN associé utilisé par un terminal BlackBerry 10 pour se connecter à un réseau VPN lorsque le terminal est connecté au réseau Wi-Fi. Profil proxy associé Ce paramètre spécifie le profil proxy associé utilisé par un terminal BlackBerry 10 pour se connecter à un serveur proxy lorsque le terminal est connecté au réseau Wi-Fi. : paramètres de profil iOSOS XWi-Fi OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil Wi-Fi à appliquer à l'un ou à l'autre. iOSetOS X: Wi-Fi : paramètre Description de profil Rejoindre automatiquement le Ce paramètre spécifie si un terminal peut automatiquement rejoindre le réseau Wi-Fi. réseau Appliquer le profil à Ce paramètre indique si le profil Wi-Fi est appliqué au compte d'utilisateur ou au terminal. Valeurs possibles : • Utilisateur • Terminal Ce paramètre est valide uniquement pour OS X. 343 Paramètres de profil iOSetOS X: Wi-Fi : paramètre Description de profil Profil proxy associé Ce paramètre spécifie le profil proxy associé utilisé par un terminal pour se connecter à un serveur proxy lorsque le terminal est connecté au réseau Wi-Fi. Type de réseau Ce paramètre spécifie la configuration du réseau Wi-Fi. Les configurations de points d'accès s'appliquent uniquement aux terminaux.iOSOS X Pour configurer les paramètres Wi-Fi des terminaux BlackBerry, Android et Windows Phone, créez un profil Wi-Fi distinct. Valeurs possibles : • Standard • Point d'accès hérité • Hotspot 2.0 La valeur par défaut est Standard. Nom de l'opérateur affiché Ce paramètre spécifie le nom convivial de l'opérateur de points d'accès. Ce paramètre est valide uniquement si le paramètre Type de réseau est défini sur Hotspot 2.0. Nom de domaine Ce paramètre spécifie le nom de domaine de l'opérateur de points d'accès. Ce paramètre est valide uniquement si le paramètre Type de réseau est défini sur Hotspot 2.0. Le paramètre SSID n'est pas requis lorsque vous utilisez ce paramètre. Identifiants d'entreprise des consortiums d'itinérance Ce paramètre spécifie les identifiants d'entreprise des consortiums d'itinérance et fournisseurs de services agissant en tant que partenaires d'itinérance de l'opérateur de points d'accès. Ce paramètre est valide uniquement si le paramètre Type de réseau est défini sur Hotspot 2.0. Noms de domaine NAI Ce paramètre spécifie les noms de domaine de l'identifiant d'accès réseau capables d'authentifier un terminal iOS. Ce paramètre est valide uniquement si le paramètre Type de réseau est défini sur Hotspot 2.0. MCC/MNC Ce paramètre spécifie les combinaisons MCC et MNC qui identifient les opérateurs de réseaux mobiles. Chaque valeur doit contenir six chiffres. Ce paramètre est valide uniquement si le paramètre Type de réseau est défini sur Hotspot 2.0. Autoriser la connexion aux réseaux des partenaires d'itinérance Ce paramètre spécifie si un terminal peut se connecter aux partenaires d'itinérance pour le point d'accès. Ce paramètre est valide uniquement si le paramètre Type de réseau est défini sur Hotspot 2.0. 344 Paramètres de profil iOSetOS X: Wi-Fi : paramètre Description de profil Type de sécurité Ce paramètre indique le type de sécurité utilisé par le réseau Wi-Fi. Si le paramètre Type de réseau est défini sur Hotspot 2.0, ce paramètre est défini sur WPA2 entreprise. Valeurs possibles : • Aucune • WEP personnel • WEP Enterprise • WPA personnel • WPA entreprise • WPA2-Personal • WPA2 entreprise La valeur par défaut est Aucune. Clé WEP Ce paramètre spécifie la clé WEP du réseau Wi-Fi. La clé WEP doit contenir 10 ou 26 caractères hexadécimaux (0-9, A-F) ou 5 ou 13 caractères alphanumériques (0-9, A-Z). Exemples de valeurs de clés hexadécimales : ABCDEF0123 ou ABCDEF0123456789ABCDEF0123. Exemples de valeurs de clés alphanumériques : abCD5 ou abCDefGHijKL1. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP personnel. Clé pré-partagée Ce paramètre spécifie la clé pré-partagée du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA personnel ou WPA2-Personal. Protocoles Protocole d'authentification Ce paramètre spécifie la méthode EAP prise en charge par le réseau Wi-Fi. Vous pouvez sélectionner plusieurs méthodes EAP. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP Enterprise, WPA entreprise ou WPA2 entreprise. Sélections possibles : • TLS • TTLS 345 Paramètres de profil iOSetOS X: Wi-Fi : paramètre Description de profil Authentification interne • LEAP • PEAP • EAP-FAST • EAP-SIM Ce paramètre indique la méthode d'authentification interne à utiliser avec TTLS. Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur TTLS. Valeurs possibles : • Aucune • PAP • CHAP • MS-CHAP • MS-CHAPv2 • EAP La valeur par défaut est MS-CHAPv2. Utiliser PAC Ce paramètre spécifie si la méthode EAP-FAST utilise des informations d'accès protégé (PAC). Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur EAP-FAST. Déployer PAC Ce paramètre spécifie si la méthode EAP-FAST permet un déploiement PAC. Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur EAP-FAST et si le paramètre Utiliser PAC est sélectionné. Déployer PAC anonymement Ce paramètre spécifie si la méthode EAP-FAST permet un déploiement PAC anonyme. Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur Utiliser PAC et si le paramètre Déployer PAC est sélectionné. Authentification Identité externe pour TTLS, PEAP et EAP-FAST Ce paramètre spécifie l'identité externe d'un utilisateur envoyée en clair. Vous pouvez spécifier un nom d'utilisateur anonyme pour masquer l'identité réelle de l'utilisateur (par exemple, anonyme). Le tunnel crypté est utilisé pour envoyer le nom d'utilisateur réel à des fins d'authentification auprès du réseau Wi-Fi. Si l'identité externe comprend le nom de 346 Paramètres de profil iOSetOS X: Wi-Fi : paramètre Description de profil domaine pour l'acheminement de la demande, il doit correspondre au domaine réel de l'utilisateur (par exemple, [email protected]). Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur TTLS, PEAP ou EAP-FAST. Utiliser le mot de passe inclus Ce paramètre spécifie si le profil Wi-Fi inclut le mot de passe à des fins d'authentification. dans le profil Wi-Fi Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP Enterprise, WPA entreprise ou WPA2 entreprise. Mot de passe, Ce paramètre spécifie le mot de passe utilisé par un terminal iOS pour s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Utiliser le mot de passe inclus dans le profil Wi-Fi est sélectionné. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal iOS pour s'authentifier auprès du réseau Wi-Fi. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP Enterprise, WPA entreprise ou WPA2 entreprise. Type d'authentification Ce paramètre spécifie le type d'authentification utilisé par un terminal pour se connecter au réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP Enterprise, WPA entreprise ou WPA2 entreprise. Valeurs possibles : • Aucune • Certificat partagé • SCEP • Informations d'identification de l'utilisateur La valeur par défaut est Aucune. Type de liaison de certificat Ce paramètre spécifie le type de liaison du certificat client associé au profil Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Certificat partagé. Valeurs possibles : 347 Paramètres de profil iOSetOS X: Wi-Fi : paramètre Description de profil • Référence unique • Injection de variable La valeur par défaut est Référence unique. Profil de certificat partagé Ce paramètre spécifie le profil de certificat partagé avec le certificat client utilisé par un terminal pour s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est défini sur Référence unique. Nom du certificat client Ce paramètre spécifie le nom du certificat client utilisé par un terminal pour s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est définir sur Injection de variable. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un terminal pour obtenir un certificat client et s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur SCEP. Profil des informations Ce paramètre spécifie le profil d'informations d'identification de l'utilisateur associé utilisé par d'identification de l'utilisateur un terminal pour obtenir un certificat client et s'authentifier auprès du réseau Wi-Fi. associé Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Informations d'identification de l'utilisateur. Se fier Noms usuels de certificat attendus par le serveur d'authentification Ce paramètre spécifie les noms usuels du certificat envoyés par le serveur d'authentification au terminal (par exemple, * .exemple.com). Type de liaison de certificat Ce paramètre spécifie le type de liaison des certificats client associés au profil Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP Enterprise, WPA entreprise ou WPA2 entreprise. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP Enterprise, WPA entreprise ou WPA2 entreprise. Valeurs possibles : • Référence unique • Injection de variable 348 Paramètres de profil iOSetOS X: Wi-Fi : paramètre Description de profil La valeur par défaut est Référence unique. Profils de certificat d'autorité de certification Ce paramètre spécifie les profils de certificat d'autorité de certification avec les certificats approuvés utilisés par un terminal pour établir une connexion approuvée au réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est défini sur Référence unique. Noms de certificats approuvés Ce paramètre spécifie les noms des certificats approuvés utilisés par un terminal pour établir une connexion approuvée au réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est définir sur Injection de variable. Faire confiance aux décisions d'utilisateur Ce paramètre spécifie si un terminal doit inviter l'utilisateur à approuver un serveur lorsque la chaine d'approbation ne peut pas être établie. Si ce paramètre n'est pas sélectionné, seules les connexions aux serveurs approuvés que vous spécifiez sont autorisées. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WEP Enterprise, WPA entreprise ou WPA2 entreprise. Android : paramètres de profil Wi-Fi Android : paramètre de profil Description Wi-Fi Profil proxy associé Ce paramètre spécifie le profil proxy associé utilisé par un terminal Android for Work pour se connecter à un serveur proxy lorsque le terminal est connecté au réseau Wi-Fi. BSSID Ce paramètre spécifie l'adresse MAC du point d'accès sans fil du réseau Wi-Fi. DNS primaire Ce paramètre spécifie le serveur DNS primaire au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre s'applique uniquement aux terminaux utilisant Samsung KNOX lorsque l'adresse IP est attribuée de façon statique par le réseau de l'entreprise. DNS secondaire Ce paramètre spécifie le serveur DNS secondaire au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre s'applique uniquement aux terminaux utilisant Samsung KNOX lorsque l'adresse IP est attribuée de façon statique par le réseau de l'entreprise. 349 Paramètres de profil Android : paramètre de profil Description Wi-Fi Type de sécurité Ce paramètre indique le type de sécurité utilisé par le réseau Wi-Fi. Valeurs possibles : • Aucune • Personnel • Entreprise La valeur par défaut est Aucune. Type de sécurité personnelle Ce paramètre indique le type de sécurité personnelle utilisé par le réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Personnelle. Valeurs possibles : • Aucune • WEP personnel • WPA personnel/WPA2-Personal La valeur par défaut est Aucune. Clé WEP Ce paramètre spécifie la clé WEP du réseau Wi-Fi. La clé WEP doit contenir 10 ou 26 caractères hexadécimaux (0-9, A-F) ou 5 ou 13 caractères alphanumériques (0-9, A-Z). Exemples de valeurs de clés hexadécimales : ABCDEF0123 ou ABCDEF0123456789ABCDEF0123. Exemples de valeurs de clés alphanumériques : abCD5 ou abCDefGHijKL1. Ce paramètre est valide uniquement si le paramètre Type de sécurité personnelle est défini sur WEP personnel. Clé pré-partagée Ce paramètre spécifie la clé pré-partagée du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité personnelle est défini sur WPA personnel/WPA2-Personal. Protocole d'authentification Ce paramètre spécifie la méthode EAP utilisée par le réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Entreprise. Valeurs possibles : • TLS • TTLS 350 Paramètres de profil Android : paramètre de profil Description Wi-Fi • PEAP • LEAP* La valeur par défaut est TLS. * Le protocole d'authentification n'est pas pris en charge par les terminaux utilisant Samsung KNOX. Authentification interne Ce paramètre indique la méthode d'authentification interne à utiliser avec TTLS. Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur TTLS. Valeurs possibles : • Aucune • PAP • CHAP* • MS-CHAP • MS-CHAPv2 • GTC La valeur par défaut est MS-CHAPv2. * Le méthode d'authentification interne n'est pas prise en charge par les terminaux utilisant Samsung KNOX. Identité Externe pour TTLS Ce paramètre spécifie l'identité externe d'un utilisateur envoyée en clair. Vous pouvez spécifier un nom d'utilisateur anonyme pour masquer l'identité réelle de l'utilisateur (par exemple, anonyme). Le tunnel crypté est utilisé pour envoyer le nom d'utilisateur réel à des fins d'authentification auprès du réseau Wi-Fi. Si l'identité externe comprend le nom de domaine pour l'acheminement de la demande, il doit correspondre au domaine réel de l'utilisateur (par exemple, [email protected]). Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur TTLS. Identité Externe pour PEAP Ce paramètre spécifie l'identité externe d'un utilisateur envoyée en clair. Vous pouvez spécifier un nom d'utilisateur anonyme pour masquer l'identité réelle de l'utilisateur (par exemple, anonyme). Le tunnel crypté est utilisé pour envoyer le nom d'utilisateur réel à des fins d'authentification auprès du réseau Wi-Fi. Si l'identité externe comprend le nom de domaine pour l'acheminement de la demande, il doit correspondre au domaine réel de l'utilisateur (par exemple, [email protected]). 351 Paramètres de profil Android : paramètre de profil Description Wi-Fi Ce paramètre est valide uniquement si le paramètre Protocole d'authentification est défini sur PEAP. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal Android pour s'authentifier auprès du réseau Wi-Fi. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Entreprise. Utiliser le mot de passe inclus Ce paramètre spécifie si le profil Wi-Fi inclut le mot de passe à des fins d'authentification. dans le profil Wi-Fi Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Entreprise. Mot de passe, Ce paramètre spécifie le mot de passe utilisé par un terminal Android pour s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Utiliser le mot de passe inclus dans le profil Wi-Fi est sélectionné. Type d'authentification Ce paramètre spécifie le type d'authentification utilisé par un terminal Android pour se connecter au réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Entreprise. Valeurs possibles : • Aucune • Certificat partagé • SCEP • Informations d'identification de l'utilisateur La valeur par défaut est Aucune. Type de liaison de certificat Ce paramètre spécifie le type de liaison du certificat client associé au profil Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Certificat partagé. Valeurs possibles : • Référence unique • Injection de variable La valeur par défaut est Référence unique. 352 Paramètres de profil Android : paramètre de profil Description Wi-Fi Profil de certificat partagé Ce paramètre spécifie le profil de certificat partagé avec le certificat client utilisé par un terminal Android pour s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est défini sur Référence unique. Le nom du profil de certificat partagé doit contenir moins de 36 caractères pour les terminaux utilisant un KNOX Workspace. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un terminal Android pour obtenir un certificat client et s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur SCEP. Le nom du profil SCEP doit contenir moins de 36 caractères pour les terminaux utilisant un KNOX Workspace. Profil des informations Ce paramètre spécifie le profil d'informations d'identification de l'utilisateur associé utilisé par d'identification de l'utilisateur un terminal Android pour obtenir un certificat client et s'authentifier auprès du réseau Wi-Fi. associé Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Informations d'identification de l'utilisateur. Le nom du profil d'informations d'identification doit contenir moins de 36 caractères pour les terminaux utilisant un KNOX Workspace. Nom du certificat client Ce paramètre spécifie le nom du certificat client utilisé par un terminal Android pour s'authentifier auprès du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est définir sur Injection de variable. Noms usuels de certificat attendus par le serveur d'authentification Ce paramètre spécifie les noms usuels du certificat envoyés par le serveur d'authentification au terminal (par exemple, * .exemple.com). Type de liaison de certificat Ce paramètre spécifie le type de liaison des certificats client associés au profil Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Entreprise. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Entreprise. Valeurs possibles : • Référence unique • Injection de variable La valeur par défaut est Référence unique. 353 Paramètres de profil Android : paramètre de profil Description Wi-Fi Profil du certificat d'autorité de certification Ce paramètre spécifie le profil de certificat d'autorité de certification avec le certificat client utilisé par un terminal Android pour établir une connexion approuvée au réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est défini sur Référence unique. Noms de certificats approuvés Ce paramètre spécifie les noms des certificats approuvés utilisés par un terminal Android pour établir une connexion approuvée au réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de liaison de certificat est définir sur Injection de variable. Windows : paramètres de profil Wi-Fi Windows : paramètre de profil Wi-Fi Description Type de sécurité Ce paramètre indique le type de sécurité utilisé par le réseau Wi-Fi. Valeurs possibles : • Ouvert • WPA entreprise • WPA personnel • WPA2 entreprise • WPA2-Personal La valeur par défaut est Ouvert. Type de cryptage Ce paramètre spécifie la méthode de cryptage utilisée par le réseau Wi-Fi. Le paramètre Type de sécurité détermine les types d'authentification pris en charge et la valeur par défaut de ce paramètre. Valeurs possibles : • Aucune • WEP • TKIP • AES 354 Paramètres de profil Windows : paramètre de profil Wi-Fi Clé WEP Description Ce paramètre spécifie la clé WEP du réseau Wi-Fi. La clé WEP doit contenir 10 ou 26 caractères hexadécimaux (0-9, A-F) ou 5 ou 13 caractères alphanumériques (0-9, A-Z). Exemples de valeurs de clés hexadécimales : ABCDEF0123 ou ABCDEF0123456789ABCDEF0123. Exemples de valeurs de clés alphanumériques : abCD5 ou abCDefGHijKL1. Clé pré-partagée Ce paramètre spécifie la clé pré-partagée du réseau Wi-Fi. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur WPA personnel. Index de clé Ce paramètre spécifie la position de la clé correspondante stockée sur le point d'accès sans fil. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur Ouvert et le paramètre Type de cryptage sur WEP. Les valeurs possibles sont comprises entre 1 et 4. La valeur par défaut est 60. Activer l'identification unique Ce paramètre spécifie si le réseau Wi-Fi prend en charge l'authentification avec identification unique. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA entreprise ou WPA2 entreprise. Type d'identification unique Ce paramètre spécifie le moment où l'authentification avec identification unique intervient. Lorsque ce paramètre est défini sur Exécuter immédiatement avant la connexion d'utilisateur, l'identification unique est exécutée avant que l'utilisateur se connecte à l'instance Active Directory de votre organisation. Lorsque ce paramètre est défini sur Exécuter immédiatement après la connexion d'utilisateur, l'identification unique est exécutée après que l'utilisateur se connecte à l'instance Active Directory de votre organisation. Ce paramètre est valide uniquement si le paramètre Activer VPN à la demande est sélectionné. Valeurs possibles : • Exécuter immédiatement avant la connexion d'utilisateur • Exécuter immédiatement après la connexion d'utilisateur La valeur par défaut est Exécuter immédiatement avant la connexion d'utilisateur. Délai de connectivité maximum Ce paramètre spécifie, en secondes, le délai maximum avant que la tentative de connexion avec identification unique échoue. 355 Paramètres de profil Windows : paramètre de profil Wi-Fi Description Ce paramètre est valide uniquement si le paramètre Activer VPN à la demande est sélectionné. Les valeurs possibles sont comprises entre 0 et 120 secondes. La valeur par défaut est de 10 secondes. Autoriser l'affichage de boites Ce paramètre indique si un terminal peut afficher des boites de dialogue au-delà de l'écran de de dialogue supplémentaires connexion. Par exemple, si un type d'authentification EAP nécessite que l'utilisateur confirme lors de l'identification unique le certificat envoyé par le serveur lors de l'authentification, le terminal peut afficher la boite de dialogue. Ce paramètre est valide uniquement si le paramètre Activer VPN à la demande est sélectionné. Ce réseau utilise des réseaux LAN virtuels pour l'authentification de l'ordinateur et de l'utilisateur Ce paramètre spécifie si le réseau VLAN utilisé par un terminal change en fonction des informations de connexion de l'utilisateur Par exemple, si le terminal se trouve sur un réseau VLAN lorsqu'il démarre, puis - selon les autorisations utilisateur - passe sur un autre réseau VLAN après que l'utilisateur se connecte. Ce paramètre est valide uniquement si le paramètre Activer VPN à la demande est sélectionné. Valider le certificat du serveur Ce paramètre spécifie si un terminal doit valider le certificat du serveur qui vérifie l'identité du point d'accès sans fil. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA entreprise ou WPA2 entreprise. Ne pas inviter l'utilisateur à autoriser de nouveaux serveurs ou des autorités de certification approuvées Profils de certificat d'autorité de certification Ce paramètre spécifie si un utilisateur est invité à approuvé le certificat du serveur. Ce paramètre est valide uniquement si le paramètre Valider le certificat du serveur est sélectionné. Ce paramètre spécifie le profil de certificat d'autorité de certification fournissant la racine approuvée pour le certificat du serveur utilisé par le point d'accès sans fil. Ce paramètre limite les autorités de certification racine que les terminaux approuvent avec les autorités de certification sélectionnées. Si vous ne sélectionnez aucune autorité de certification racine approuvée, les terminaux approuvent toutes les autorités de certification racine de leur magasin d'autorités de certification racine approuvées. Ce paramètre est valide uniquement si le paramètre Valider le certificat du serveur est sélectionné. 356 Paramètres de profil Windows : paramètre de profil Wi-Fi Activer la reconnexion rapide Description Ce paramètre spécifie si le réseau Wi-Fi prend en charge la reconnexion rapide à des fins d'authentification PEAP sur plusieurs points d'accès sans fil. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA entreprise ou WPA2 entreprise. Appliquer la protection NAP Ce paramètre spécifie si le réseau Wi-Fi utilise la protection NAP pour contrôler l'intégrité du système sur les terminaux et vérifier s'ils répondent aux exigences d'intégrité avant d'être autorisés à se connecter au réseau. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini WPA entreprise ou WPA2 entreprise. Activer la mise en cache du PMK Ce paramètre spécifie si un terminal peut mettre en cache le PMK pour activer l'itinérance rapide WPA2. L'itinérance rapide ignore les paramètres 802.1X avec un point d'accès sans fil auprès duquel le terminal s'est précédemment authentifié. Ce paramètre est valide uniquement si le paramètre Type de sécurité est défini sur WPA2Enterprise. Durée de vie du PMK Ce paramètre spécifie la durée, en minutes, pendant laquelle un terminal peut stocker le PMK dans le cache. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Les valeurs possibles sont comprises entre 10 et 1440 minutes. La valeur par défaut est 15 minutes. Nombre d'entrées du cache du PMK Ce paramètre spécifie le nombre maximum d'entrées du PMK qu'un terminal peut stocker dans le cache. Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Les valeurs possibles sont comprises entre 1 et 255. La valeur par défaut est 128. Ce réseau utilise la préauthentification Ce paramètre spécifie si le point d'accès prend en charge la pré-authentification pour l'itinérance rapide WPA2. La pré-authentification permet aux terminaux de se connecter à un point d'accès sans fil pour utiliser les paramètres 802.1X avec d'autres points d'accès sans fil à portée. La préauthentification stocke le PMK et les informations qui s'y rapportent dans le cache du PMK. Lorsque le terminal se connecte à un point d'accès sans fil auprès duquel il s'est préauthentifié, il utilise les informations mises en cache dans le PMK pour réduire le délai d'authentification et de connexion. 357 Paramètres de profil Windows : paramètre de profil Wi-Fi Description Ce paramètre est valide uniquement si le paramètre Activer S/MIME est sélectionné. Tentatives de préauthentification maximum Ce paramètre spécifie le nombre maximum de tentatives de pré-authentification autorisées. Ce paramètre est valide uniquement si le paramètre Ce réseau utilise une pré-authentification est sélectionné. Les valeurs possibles sont comprises entre 1 et 16. La valeur par défaut est 3. Proxy This setting specifies the server name and port for the network proxy. Use the format host:port (for example, server01.example.com:123). The host must be one of the following: • un nom enregistré (ex.: nom de serveur), un nom de domaine complet ou un nom d'étiquette unique (par exemple, serveur01 au lieu de serveur01.exemple.com) • une adresse IPv4 ou IPv6 Ce paramètre s'applique uniquement aux terminaux Windows 10 Mobile. Paramètres du profil VPN Vous pouvez utiliser une variable de paramètre de profil correspondant à un champ de texte pour faire référence à une valeur plutôt que de spécifier la valeur réelle.BES12prend en charge les variables par défaut prédéfinies et les variables personnalisées que vous définissez. Les profils VPN sont pris en charge sur les types de terminaux suivants : • BlackBerry 10 • iOS • OS X • Samsung KNOX Workspace • Windows 10 Dans certains cas, la version minimale du système d'exploitation du terminal requis pour prendre en charge un paramètre correspondant à une version non prise en charge par BES12. Pour plus d'informations sur les versions de système d'exploitation prises en charge, reportez-vous à la matrice de compatibilité. 358 Paramètres de profil BlackBerry 10 : paramètres de profil VPN BlackBerry 10 : paramètre de Description profil VPN Adresse du serveur Ce paramètre spécifie le FQDN ou l'adresse IP d'un serveur VPN. Type de passerelle Ce paramètre indique le type de client VPN que le client VPN d'un terminal BlackBerry 10 émule. Valeurs possibles : • Check Point VPN-1 • Cisco VPN 3000 Series Concentrator • Cisco Secure PIX Firewall • Cisco IOS Easy VPN • Cisco ASA Series • Cisco AnyConnect • Juniper série SRX (VPN IPsec) • Juniper série MAG ou Juniper série SA (VPN SSL) • Serveur Microsoft VPN IKEv2 • Serveur générique VPN IKEv2 La valeur par défaut est Check Point VPN-1. Type d'authentification Ce paramètre spécifie le type d'authentification de la passerelle VPN. Le paramètre Type de passerelle détermine les types d'authentification pris en charge et la valeur par défaut de ce paramètre. Valeurs possibles : Clé pré-partagée ou mot de passe de groupe • PSK • PKI • XAUTH-PSK • XAUTH-PKI • EAP-TLS • EAP-MS-CHAPv2 Ce paramètre spécifie la clé pré-partagée ou le mot de passe de groupe pour la passerelle VPN. 359 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur PSK ou XAUTH-PSK. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal BlackBerry 10 pour s'authentifier auprès de la passerelle VPN. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect ou si le paramètre Type d'authentification est défini sur XAUTH-PSK ou XAUTHPKI. Jeton physique Ce paramètre spécifie si un utilisateur doit utiliser un jeton physique pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur XAUTH-PSK ou XAUTH-PKI. Mot de passe, Ce paramètre spécifie le mot de passe utilisé par un BlackBerry 10 pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect ou si le paramètre Type d'authentification est défini sur XAUTH-PSK ou XAUTHPKI et que le paramètre Jeton physique n'est pas sélectionné. Identité EAP Ce paramètre spécifie l'identité EPA utilisée par un terminal BlackBerry 10 pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur EAP-TLS. Identité MS-CHAPv2 EAP Ce paramètre spécifie l'identité MS-CHAPv2 EAP utilisée par un terminal BlackBerry 10 pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur EAP-MS-CHAPv2. Nom d'utilisateur MSCHAPv2 Ce paramètre spécifie l'identité MS-CHAPv2 utilisée par un terminal BlackBerry 10 pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur EAP-MS-CHAPv2. Mot de passe MS-CHAPv2 Ce paramètre spécifie le mot de passe MS-CHAPv2 utilisé par un terminal BlackBerry 10 pour s'authentifier auprès de la passerelle VPN. 360 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur EAP-MS-CHAPv2. Type d'ID d'authentification Ce paramètre spécifie le type d'ID d'authentification de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Juniper série MAG ou Juniper série SA (VPN SSL), serveur VPN IKEv2 Microsoft, serveur VPN générique IKEv2 ou serveur VPN IKEv2 conforme NIAP. Le paramètre Type de passerelle détermine les types d'ID d'authentification pris en charge et la valeur par défaut de ce paramètre. Valeurs possibles : ID d'authentification ou nom de groupe Type d'authentification de passerelle • IPv4 • Nom de domaine complet • Adresse e-mail, • Nom distinctif du certificat d'identité • Nom général du certificat d'identité Ce paramètre spécifie l'ID d'authentification ou le nom de groupe pour la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Juniper série MAG ou Juniper série SA (VPN SSL), serveur VPN IKEv2 Microsoft ou serveur VPN générique IKEv2 ou si le paramètre Type d'authentification est défini sur PSK ou XAUTH-PSK. Ce paramètre spécifie le type d'authentification de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Juniper série MAG ou Juniper série SA (VPN SSL), serveur VPN IKEv2 Microsoft ou serveur VPN générique IKEv2. Valeurs possibles : • Aucune • PSK • PKI La valeur par défaut est Aucune. Clé pré-partagée de passerelle Ce paramètre spécifie la clé pré-partagée de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification de passerelle est défini sur PSK. 361 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN Type d'ID d'authentification de passerelle Ce paramètre spécifie l'ID d'authentification de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Juniper série MAG ou Juniper série SA (VPN SSL), serveur VPN IKEv2 Microsoft ou serveur VPN générique IKEv2. Valeurs possibles : • IPv4 • Nom de domaine complet • Adresse e-mail, • Nom distinctif du certificat d'identité • Nom général du certificat d'identité La valeur par défaut est IPv4. ID d'authentification de passerelle Ce paramètre spécifie l'ID d'authentification de la passerelle VPN. Nom d'utilisateur secondaire Ce paramètre spécifie le nom de l'utilisateur utilisé par un terminal BlackBerry 10 à des fins d'authentification secondaire auprès de la passerelle VPN. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Ce paramètre est valide uniquement si le paramètre Type d'ID d'authentification de passerelle est défini sur Nom de domaine complet ou Adresse électronique. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Mot de passe secondaire Ce paramètre spécifie le mot de passe utilisé par un terminal BlackBerry 10 à des fins d'authentification secondaire auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Nom de groupe Ce paramètre spécifie le nom de groupe pour la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. 362 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN Activer le traitement automatique du certificat client Ce paramètre spécifie si un certificat client est automatiquement sélectionné lorsqu'une connexion VPN est établie. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Activer l'authentification IPsec Ce paramètre spécifie si la passerelle VPN utilise l'authentification IPsec. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Type d'authentification IPsec Ce paramètre spécifie le type d'authentification d'une connexion VPN IPsec. Ce paramètre est valide uniquement si le paramètre Activer l'authentification IPsec est sélectionné. Valeurs possibles : • EAP-MS-CHAPv2 • EAP-MD5 • EAP-GTC • EAP-AnyConnect • IKE- RSA La valeur par défaut est EAP-MS-CHAPv2. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. ID d'authentification EAP Ce paramètre spécifie l'identité EPA utilisée par un terminal BlackBerry 10 pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification IPSec est défini sur EAP MSCHAPv2, EAP MD5 ou EAP GTC. Exclure les sous-réseaux Ce paramètre spécifie si vous souhaitez empêcher des sous-réseaux spécifiques d'utiliser la connexion VPN. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. 363 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN Sous-réseaux exclus Ce paramètre spécifie les sous-réseaux et masques de sous-réseau qui ne sont pas envoyés via la connexion VPN. Ce paramètre est valide uniquement si le paramètre Exclure des sous-réseaux est sélectionné. Fichier de configuration Cisco Ce paramètre spécifie l'emplacement du fichier de configuration Cisco AnyConnect envoyé AnyConnect (.xml) aux terminaux BlackBerry 10. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Cisco AnyConnect. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Autoriser les applications personnelles sur les réseaux professionnels Ce paramètre spécifie si les applications personnelles d'un terminal BlackBerry 10 peuvent utiliser la connexion VPN. Ce paramètre est valide uniquement si le paramètre Autoriser les applications personnelles à utiliser les réseaux professionnels est sélectionné. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Action de certificats non approuvés Ce paramètre spécifie si un terminal BlackBerry 10 accepte des certificats non approuvés. Si ce paramètre est défini sur Autoriser, le terminal accepte automatiquement les certificats non approuvés. Si cette option est définie sur Invite, l'utilisateur peut choisir d'accepter les certificats non approuvés. Si ce paramètre est défini sur Interdire, le terminal n'accepte pas les certificats non approuvés. Le paramètre Type de passerelle détermine les actions de certificats non approuvés prises en charge et la valeur par défaut de ce paramètre. Valeurs possibles : • Autoriser • Invite • Interdire La configuration minimale requise est BlackBerry 10 OS version 10.3.2. Source du certificat client Ce paramètre spécifie la manière dont les terminaux BlackBerry 10 obtiennent le certificat client. Quatre options permettent aux terminaux d'obtenir des certificats client : • Si vous choisissez Carte à puce, l'utilisateur doit coupler le terminal avec une carte à puce contenant le certificat client. • Si vous choisissez SCEP, vous devez également spécifier le profil SCEP associé que le terminal peut utiliser pour télécharger le certificat client. 364 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN • Si vous choisissez Identifiants de l'utilisateur, vous devez également spécifier le profil des identifiants de l'utilisateur associé que le terminal peut utiliser pour télécharger le certificat client. • Si vous choisissez Autre, l'utilisateur doit manuellement ajouter le certificat client au terminal. Les terminaux exécutant BlackBerry 10 OS version 10.3.1 ou ultérieure prennent en charge la carte à puce. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur PKI ou XAUTH-PKI. Valeurs possibles : • Carte à puce • SCEP • Informations d'identification de l'utilisateur • Autre La valeur par défaut est Autre. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un terminal BlackBerry 10 pour obtenir un certificat client et s'authentifier auprès du VPN. Ce paramètre est valide uniquement si le paramètre Source du certificat client est défini sur SCEP. Profil des informations Ce paramètre spécifie le profil des informations d'identification de l'utilisateur associé utilisé d'identification de l'utilisateur par un terminal BlackBerry 10 pour obtenir un certificat client et s'authentifier auprès du VPN. associé Ce paramètre est valide uniquement si le paramètre Source du certificat client est défini sur Informations d'identification de l'utilisateur. La configuration minimale pour utiliser un profil des informations d'identification de l'utilisateur est BlackBerry 10 OS version 10.3.1. Durée de vie IKE Ce paramètre spécifie la durée de vie de la connexion IKE (en secondes). Si vous définissez une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal BlackBerry 10 est utilisée. Les valeurs possibles sont comprises entre 1 et 2 147 483 647. Durée de vie IPsec Ce paramètre spécifie la durée de vie de la connexion IPsec (en secondes). Si vous définissez une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal BlackBerry 10 est utilisée. 365 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN Les valeurs possibles sont comprises entre 1 et 2 147 483 647. Tunnellisation fractionnée Ce paramètre spécifie si un terminal BlackBerry 10 peut utiliser la tunnellisation fractionnée pour contourner la passerelle VPN (sous réserve de prise en charge par la passerelle VPN). Désactiver la bannière Ce paramètre spécifie si un terminal BlackBerry 10 bloque la bannière VPN. Source du certificat approuvé Ce paramètre spécifie la source du certificat approuvé. Si ce paramètre est défini sur Magasin de certificats approuvé, un terminal BlackBerry 10 peut se connecter à un VPN à l'aide d'un certificat du magasin de certificats. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur PKI ou XAUTH-PKI. Valeurs possibles : • Aucune • Magasin de certificats approuvés La valeur par défaut est Aucune. Déterminer automatiquement Ce paramètre spécifie si un terminal BlackBerry 10 détermine automatiquement la la configuration IP configuration IP de la passerelle VPN. Adresse IP privée Ce paramètre spécifie l'adresse IP privée de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement l'IP n'est pas sélectionné. Masque IP privé Ce paramètre spécifie le masque d'adresse IP privée de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement l'IP n'est pas sélectionné. Sous-réseau Ce paramètre spécifie le sous-réseau de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement l'IP n'est pas sélectionné. Masque de sous-réseau Ce paramètre spécifie le masque de sous-réseau de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement l'IP n'est pas sélectionné. Déterminer automatiquement Ce paramètre spécifie si un terminal BlackBerry 10 détermine automatiquement la la configuration DNS configuration DNS de la passerelle VPN. 366 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN DNS primaire Ce paramètre spécifie le serveur DNS primaire au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement le DNS n'est pas sélectionné. DNS secondaire Ce paramètre spécifie le serveur DNS secondaire au format décimal séparé par des points (par exemple, 192.0.2.0). Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement le DNS n'est pas sélectionné. Suffixe de domaine Ce paramètre spécifie l'FQDN du suffixe DNS. Ce paramètre est valide uniquement si le paramètre Déterminer automatiquement le DNS n'est pas sélectionné. Perfect Forward Secrecy (confidentialité totale des transferts) Ce paramètre spécifie si la passerelle VPN prend en charge PFS. Sélection manuelle des algorithmes Ce paramètre spécifie si vous devez définir les algorithmes cryptographiques de la passerelle VPN. Groupe DH IKE Ce paramètre spécifie le groupe DH utilisé par un terminal BlackBerry 10 pour générer les clés. Si ce paramètre est sélectionné, le paramètre Groupe DH IPsec doit être défini sur 0. Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est sélectionné. Valeurs possibles : • 1 à 26, sauf 3, 4 et 6 • Personnalisé 1 à Personnalisé 5 La valeur par défaut est 1. Fournisseur DH IKE personnalisé Ce paramètre spécifie le nom du fournisseur pour DH IKE personnalisé. Activer MOBIKE Ce paramètre spécifie si la passerelle VPN prend en charge MOBIKE. Ce paramètre est uniquement valide que si le paramètre Groupe DH IKE est défini sur une des valeurs personnalisées. Ce paramètre est valide uniquement si le paramètre Type de passerelle est défini sur Serveur VPN IKEv2 Microsoft ou Serveur VPN générique IKEv2, le paramètre Type d'authentification sur PKI et le paramètre Groupe DH IKE sur une des valeurs personnalisées. 367 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Cryptage IKE Ce paramètre spécifie l'algorithme utilisé par un terminal BlackBerry 10 pour générer une clé secrète partagée. Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est sélectionné. Valeurs possibles : • Aucune • DES (clé 56 bits) • Triple DES (clé 168 bits) • AES (clé 128 bits) • AES (clé 192 bits) • AES (clé 256 bits) La valeur par défaut est Aucune. Hachage IKE Ce paramètre spécifie la fonction de hachage utilisée par un terminal BlackBerry 10 avec IKE. Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est sélectionné. Valeurs possibles : • Aucune • MD5 • AES-XCBC • SHA-1 • SHA-256 • SHA-384 • SHA-512 La valeur par défaut est Aucune. PRF IKE Ce paramètre spécifie la fonction PRF utilisée par un terminal BlackBerry 10 avec IKE. Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est sélectionné. Valeurs possibles : 368 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN • Aucune • HMAC • HMAC-MD5 • AES-XCBC • HMAC-SHA-1 • HMAC-SHA-256 • HMAC-SHA-384 • HMAC-SHA-512 La valeur par défaut est Aucune. Groupe DH IPsec Ce paramètre spécifie le groupe DH utilisé par un terminal BlackBerry 10 avec IPsec. Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est sélectionné. Les valeurs possibles sont comprises entre 0 et 26, sauf 3, 4 et 6. La valeur par défaut est 0. Cryptage IPsec Ce paramètre spécifie l'algorithme utilisé par un terminal BlackBerry 10 avec IPsec. Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est sélectionné. Valeurs possibles : • Aucune • DES (clé 56 bits) • Triple DES (clé 168 bits) • AES (clé 128 bits) • AES (clé 192 bits) • AES (clé 256 bits) La valeur par défaut est Aucune. Hachage IPsec Ce paramètre spécifie la fonction de hachage utilisée par un terminal BlackBerry 10 avec IPsec. Ce paramètre est valide uniquement si le paramètre Sélection manuelle des algorithmes est sélectionné. Valeurs possibles : 369 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN • Aucune • MD5 • AES-XCBC • SHA-1 • SHA-256 • SHA-384 • SHA-512 La valeur par défaut est Aucune. NAT keepalive Ce paramètre spécifie la fréquence à laquelle un terminal envoie un paquet NAT keepalive. Si vous définissez une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal BlackBerry 10 est utilisée. Les valeurs possibles sont comprises entre 1 et 2 147 483 647. Fréquence DPD Ce paramètre spécifie la fréquence DPD, en secondes. Un terminal BlackBerry 10prend en charge un minimum de 10 secondes. Si vous définissez une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal est utilisée. Les valeurs possibles sont comprises entre 1 et 2 147 483 647. Modifiable par l'utilisateur Ce paramètre spécifie les paramètres VPN qu'un utilisateur de terminal BlackBerry 10 peut modifier. Si ce paramètre est défini sur Lecture seule, l'utilisateur ne peut pas modifier les paramètres. Si ce paramètre est défini sur Informations d'identification uniquement, l'utilisateur peut modifier le nom d'utilisateur et le mot de passe. Valeurs possibles : • Lecture seule • Informations d'identification uniquement La valeur par défaut est Lecture seule. Afficher les informations VPN sur le terminal Ce paramètre spécifie si les informations VPN s'affichent sur un terminal BlackBerry 10. Si ce paramètre est défini sur Visibles, la plupart des informations du profil VPN s'affichent sur le terminal. Si ce paramètre est défini sur Invisibles, seul le nom du profil s'affiche sur le terminal. Si ce paramètre est défini sur Informations d'identification uniquement, les champs relatifs au nom du profil et aux informations d'identification s'affichent sur le terminal. Valeurs possibles : • Visibles 370 Paramètres de profil BlackBerry 10 : paramètre de Description profil VPN • Invisibles • Informations d'identification uniquement La valeur par défaut est Visibles. Niveau de sécurité des données Ce paramètre spécifie le domaine de l'espace Travail où le profil VPN est stocké lorsque l'espace Travail utilise la protection avancée des données inactives. Ce paramètre est uniquement valide si la règle de stratégie informatique « Appliquer la protection avancée des données inactives » est sélectionnée. Si ce paramètre est défini sur Toujours disponible, le profil est stocké dans le domaine de démarrage et disponible lorsque l'espace Travail est verrouillé. Si ce paramètre est défini sur Disponible après authentification, le profil est stocké dans le domaine opérationnel et disponible lorsque l'espace Travail est déverrouillé une fois jusqu'à ce que le terminal redémarre. Si ce paramètre est défini sur Disponible uniquement lorsque l'espace Travail est déverrouillé, le profil est stocké dans le domaine de verrouillage et peut être utilisé pour les connexions VPN uniquement lorsque l'espace Travail est déverrouillé. Valeurs possibles : • Toujours disponible • Disponible après authentification • Disponible uniquement lorsque l'espace Travail est déverrouillé La valeur par défaut est Toujours disponible. La configuration minimale requise est BlackBerry 10 OS version 10.3.1. Profil proxy associé Ce paramètre spécifie le profil proxy associé utilisé par un terminal BlackBerry 10 pour se connecter à un serveur proxy lorsque le terminal est connecté au VPN. : paramètres de profil VPNiOSOS X OS X applique les profils aux terminaux ou comptes d'utilisateur. Vous pouvez configurer un profil VPN à appliquer à l'un ou à l'autre. iOSetOS X : paramètre de profil VPN Description Appliquer le profil à Ce paramètre indique si le profil VPN est appliqué au compte d'utilisateur ou au terminal. Valeurs possibles : 371 Paramètres de profil iOSetOS X : paramètre de profil VPN Description • Utilisateur • Terminal Ce paramètre est valide uniquement pour les terminaux OS X. Type de connexion Ce paramètre spécifie le type de connexion utilisé par un terminal pour une passerelle VPN. Certains types de connexion requièrent également que les utilisateurs installent l'application VPN sur le terminal. Valeurs possibles : • L2TP • PPTP • IPsec • Cisco AnyConnect • Juniper • Pulse Secure • F5 • SonicWALL Mobile Connect • Aruba VIA • Check Point Mobile • OpenVPN • Personnalisée • IKEv2 La valeur par défaut est L2TP. Certaines valeurs ne sont pas valides pour les terminaux OS X. ID d'offre VPN Ce paramètre spécifie l'ID d'offre de l'application VPN pour un VPN SSL personnalisé. L'ID d'offre est au format DNS inversé (par exemple, com.exemple.VPNapp). Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Personnalisée. Serveur, Ce paramètre spécifie le FQDN ou l'adresse IP d'un serveur VPN. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal pour s'authentifier auprès de la passerelle VPN. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. 372 Paramètres de profil iOSetOS X : paramètre de profil VPN Valeurs et clés personnalisées Description Ce paramètre spécifie les clés et les valeurs associées du VPN SSL personnalisé. Les informations de configuration sont spécifiques à l'application VPN du fournisseur. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Personnalisée. Groupe de connexion ou domaine Ce paramètre spécifie le groupe de connexion ou le domaine utilisé par la passerelle VPN pour authentifier un terminal iOS. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur SonicWALL Mobile Connect. Domaine Ce paramètre spécifie le nom de domaine d'authentification utilisé par la passerelle VPN pour authentifier un terminal iOS. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Juniper ou Pulse Secure. Rôle Ce paramètre spécifie le nom du rôle d'utilisateur utilisé par la passerelle VPN pour vérifier les ressources réseau auxquelles un terminal iOS peut accéder. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Juniper ou Pulse Secure. Type d'authentification Ce paramètre spécifie le type d'authentification de la passerelle VPN. Le paramètre Type de connexion détermine les types d'authentification pris en charge et la valeur par défaut de ce paramètre. Valeurs possibles : Mot de passe, • Mot de passe, • RSA SecurID • Secret partagé/Nom de groupe • Certificat partagé • SCEP • Informations d'identification de l'utilisateur Ce paramètre spécifie le mot de passe utilisé par un terminal pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification est défini sur Mot de passe. 373 Paramètres de profil iOSetOS X : paramètre de profil VPN Description Nom de groupe Ce paramètre spécifie le nom de groupe pour la passerelle VPN. Ce paramètre est valide uniquement dans les conditions suivantes : Secret partagé • Le paramètre Type de connexion est défini sur Cisco AnyConnect. • Le paramètre Type de connexion est défini sur IPsec et le paramètre Type d'authentification est défini sur Secret partagé/Nom de groupe. Ce paramètre spécifie le secret partagé à utiliser pour l'authentification VPN. Ce paramètre est valide uniquement dans les conditions suivantes : Profil de certificat partagé • Le paramètre Type de connexion est défini sur L2TP. • Le paramètre Type de connexion est défini sur IPsec et le paramètre Type d'authentification est défini sur Secret partagé/Nom de groupe. • Le paramètre Type de connexion est défini sur IKEv2 et le paramètre Méthode d'authentification est défini sur Secret partagé. Ce paramètre spécifie le profil de certificat partagé avec le certificat client utilisé par un terminal pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification ou le paramètre Méthode d'authentification est défini sur Certificat partagé. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un terminal iOS pour obtenir un certificat client et s'authentifier auprès du VPN. Ce paramètre est valide uniquement si le paramètre Type d'authentification ou le paramètre Méthode d'authentification est défini sur SCEP. Profil des informations d'identification de l'utilisateur associé Ce paramètre spécifie le profil d'informations d'identification de l'utilisateur associé utilisé par un terminal pour obtenir un certificat client et s'authentifier auprès du VPN. Niveau de cryptage Ce paramètre spécifie le niveau de cryptage des données pour la connexion VPN. Si ce paramètre est défini sur Automatique, tous les niveaux de cryptage sont autorisés. Si ce paramètre est défini sur Maximum, seul le cryptage maximum est autorisé. Ce paramètre est valide uniquement si le paramètre Type d'authentification ou le paramètre Méthode d'authentification est défini sur Identifiants de l'utilisateur. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur PPTP. Valeurs possibles : • Aucune 374 Paramètres de profil iOSetOS X : paramètre de profil VPN Description • Automatique • Maximum La valeur par défaut est Aucune. Acheminer le trafic réseau via VPN Ce paramètre spécifie si vous souhaitez acheminer le trafic réseau via une connexion VPN. Utiliser une authentification hybride Ce paramètre spécifie si vous souhaitez utiliser un certificat côté serveur pour l'authentification. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur L2TP ou PPTP. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IPsec et le paramètre Type d'authentification sur Secret partagé/Nom de groupe. Demander un mot de passe Ce paramètre spécifie si un terminal invite l'utilisateur à saisir un mot de passe. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IPsec et le paramètre Type d'authentification sur Secret partagé/Nom de groupe. Demander un code PIN à l'utilisateur Ce paramètre spécifie si le terminal invite l'utilisateur à saisir un code PIN. Adresse distante Ce paramètre spécifie l'adresse IP ou le nom d'hôte du serveur VPN. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IPsec et le paramètre Type d'authentification sur Certificat partagé, SCEP ou Informations d'identification de l'utilisateur. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. ID local Ce paramètre spécifie l'identité du client IKEv2 dans l'un des formats suivants : FQDN, UserFQDN, Adresse et ASN1DN. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. ID distant Ce paramètre spécifie l'identifiant distant du client IKEv2 à l'aide de l'un des formats suivants : FQDN, FQDN de l'utilisateur, Adresse ou ASN1DN. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. Méthode d'authentification Ce paramètre spécifie la méthode d'authentification du VPN. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. Valeurs possibles : 375 Paramètres de profil iOSetOS X : paramètre de profil VPN Activer VPN à la demande Description • Secret partagé • Certificat partagé • SCEP • Informations d'identification de l'utilisateur Ce paramètre spécifie si un terminal peut automatiquement établir une connexion VPN lorsqu'il accède à certains domaines. Pour les terminaux iOS, ce paramètre s'applique aux applications professionnelles. Ce paramètre est valide uniquement dans les conditions suivantes : Domaine ou noms d'hôte pouvant utiliser un VPN à la demande • Le paramètre Type de connexion est défini sur IPsec, Cisco AnyConnect, Juniper, Pulse Secure, F5, SonicWALL Mobile Connect, Aruba VIA, Check Point Mobile, OpenVPN ou Personnalisée et le paramètre Type d'authentification sur Certificat partagé, SCEP ou Identifiants de l'utilisateur. • Le paramètre Type de connexion est défini sur IKEv2 et le paramètre Méthode d'authentification est défini sur Certificat partagé. Ce paramètre spécifie les domaines et actions associées pour utiliser un VPN à la demande. Ce paramètre est valide uniquement si le paramètre Activer VPN à la demande est sélectionné. Valeurs possibles pour Action à la demande : Règles de VPN à la demande pour iOS 7.0 ou version ultérieure • Toujours établir • Établir si nécessaire • Ne jamais établir Ce paramètre spécifie les exigences de connexion pour utiliser un VPN à la demande. Vous devez utiliser une ou plusieurs clés de l'exemple de format de charge utile. Ce paramètre remplace le paramètre Domaine ou noms d'hôte pouvant utiliser un VPN à la demande. Ce paramètre est valide uniquement si le paramètre Activer VPN à la demande est sélectionné. Activer l'authentification étendue Ce paramètre spécifie si le VPN prend en charge xAuth. Intervalle keepalive Ce paramètre spécifie la fréquence à laquelle un terminal envoie un paquet keepalive. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. 376 Paramètres de profil iOSetOS X : paramètre de profil VPN Description Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. Valeurs possibles : • Désactivée • 30 minutes • 10 minutes • 1 minute Le paramètre par défaut est 10 minutes. Désactiver MOBIKE Ce paramètre indique si le MOBIKE est désactivé. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. La configuration minimale pour les terminaux iOS est iOS 9. Désactiver la redirection IKEv2 Ce paramètre spécifie si la redirection IKEv2 est désactivée. Si ce paramètre n'est pas coché, la connexion IKEv2 est redirigée si une demande de redirection est reçue à partir du serveur. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. La configuration minimale pour les terminaux iOS est iOS 9. Activer Perfect Forward Secrecy (confidentialité totale des transferts) Activer NAT keepalive Ce paramètre spécifie si la passerelle VPN prend en charge le PFS. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. La configuration minimale pour les terminaux iOS est iOS 9. Ce paramètre spécifie si la passerelle VPN prend en charge les paquets keepalive NAT. Les paquets keepalive sont utilisés pour maintenir les mappages NAT pour les connexions IKEv2. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. La configuration minimale pour les terminaux iOS est iOS 9. Intervalle NAT keepalive Ce paramètre spécifie la fréquence à laquelle un terminal envoie un paquet NAT keepalive (en secondes). Ce paramètre n'est valide que si le paramètre Type de connexion est défini sur IKEv2 et si le paramètre Activer le keepalive NAT est sélectionné. La valeur minimale, également valeur par défaut, est de 20. La configuration minimale pour les terminaux iOS est iOS 9. 377 Paramètres de profil iOSetOS X : paramètre de profil VPN Description Utiliser les sous-réseaux internes IPv4 et IPv6 IKEv2 Ce paramètre indique si le VPN peut utiliser l'attribut de configuration IKEv2 INTERNAL_IP4_SUBNET et INTERNAL_IP6_SUBNET. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. La configuration minimale pour les terminaux iOS est iOS 9. Nom commun du certificat de serveur Ce paramètre spécifie le nom usuel du certificat envoyé par le serveur IKE au terminal. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. Nom commun de l'émetteur du Ce paramètre spécifie le nom usuel de l'émetteur du certificat dans le certificat envoyé par le certificat de serveur serveur IKE au terminal. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. Appliquer les paramètres d'association de sécurité enfant Ce paramètre spécifie s'il faut appliquer les paramètres d'association de sécurité enfant. Appliquer les paramètres d'association de sécurité IKE Ce paramètre spécifie s'il faut appliquer les paramètres d'association de sécurité IKE. Groupe DH Ce paramètre spécifie le groupe DH utilisé par un terminal pour générer les clés. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur IKEv2. Ce paramètre n'est valide que si le paramètre "Appliquer les paramètres de sécurité d'association enfant" ou "Appliquer les paramètres d'association de sécurité IKE" est sélectionné. Valeurs possibles : • 0 • 1 • 2 • 5 • 14 • 15 • 16 • 17 • 18 Le paramètre par défaut est 2. 378 Paramètres de profil iOSetOS X : paramètre de profil VPN Description Algorithme de cryptage Ce paramètre spécifie l'algorithme de cryptage IKE. Ce paramètre n'est valide que si le paramètre "Appliquer les paramètres de sécurité d'association enfant" ou "Appliquer les paramètres d'association de sécurité IKE" est sélectionné. Valeurs possibles : • DES • 3DES • AES 128 • AES 256 Le paramètre par défaut est 3DES. Algorithme d'intégrité Ce paramètre spécifie l'algorithme d'intégrité IKE. Ce paramètre n'est valide que si le paramètre "Appliquer les paramètres de sécurité d'association enfant" ou "Appliquer les paramètres d'association de sécurité IKE" est sélectionné. Valeurs possibles : • SHA1 96 • SHA1 160 • SHA1 256 • SHA2 384 • SHA2 512 La valeur par défaut est SHA1-96. Intervalle de renouvellement de Ce paramètre spécifie la durée de vie de la connexion IKE. clés Ce paramètre n'est valide que si le paramètre "Appliquer les paramètres de sécurité d'association enfant" ou "Appliquer les paramètres d'association de sécurité IKE" est sélectionné. Les valeurs possibles sont comprises entre 10 et 1440 minutes. La valeur par défaut est 1440. Activer un VPN par application Ce paramètre spécifie si la passerelle VPN prend en charge un VPN par application. Cette fonction permet de diminuer la charge d'un VPN d'entreprise. Par exemple, vous pouvez activer un trafic professionnel spécifique sur le VPN, comme l'accès aux serveurs d'applications ou aux pages Web derrière un pare-feu. 379 Paramètres de profil iOSetOS X : paramètre de profil VPN Description Ce paramètre est valide uniquement si le paramètre Type de connexion est défini sur Cisco AnyConnect, Juniper, Pulse Secure, F5, SonicWALL Mobile Connect, Aruba VIA, Check Point Mobile, OpenVPN, Personnalisée ou IKEv2. Autoriser la connexion automatique des applications Ce paramètre spécifie si les applications associées au VPN par application peuvent établir automatiquement la connexion VPN. Ce paramètre est valide uniquement si le paramètre Activer VPN par application est sélectionné. Domaines Safari Ce paramètre spécifie les domaines pouvant établir la connexion VPN dans Safari. Ce paramètre est valide uniquement si le paramètre Activer VPN par application est sélectionné. Tunnellisation du trafic Ce paramètre indique si le VPN achemine le trafic vers la couche d'application ou la couche IP. Ce paramètre est valide uniquement si le paramètre Activer VPN par application est sélectionné. Valeurs possibles : • Couche d'application • Couche IP La valeur par défaut est Couche d'application. Profil proxy associé Ce paramètre spécifie le profil proxy associé utilisé par un terminal iOS pour se connecter à un serveur proxy lorsque le terminal est connecté à la passerelle VPN. Android : paramètres de profil VPN Les profils VPN sont uniquement pris en charge sur les terminaux Samsung KNOX Workspace. Android : paramètre de profil VPN Description Adresse du serveur Ce paramètre spécifie le FQDN ou l'adresse IP d'un serveur VPN. Type de VPN Ce paramètre spécifie si un terminal utilise le protocole IPsec ou SSL pour se connecter au serveur VPN. Valeurs possibles : 380 Paramètres de profil Android : paramètre de profil VPN Description • IPsec • SSL La valeur par défaut est IPsec. L'application VPN Juniper prend uniquement en charge SSL. Authentification de l'utilisateur Ce paramètre spécifie si un utilisateur de terminal doit fournir un nom d'utilisateur et un mot requise de passe pour se connecter au serveur VPN. Nom d'utilisateur Ce paramètre spécifie le nom d'utilisateur utilisé par un terminal pour s'authentifier auprès de la passerelle VPN. Si le profil concerne plusieurs utilisateurs, vous pouvez utiliser la variable %UserName%. Ce paramètre est valide uniquement si le paramètre Authentification de l'utilisateur requise est sélectionné. Mot de passe, Ce paramètre spécifie le mot de passe utilisé par un terminal pour s'authentifier auprès de la passerelle VPN. Ce paramètre est valide uniquement si le paramètre Authentification de l'utilisateur requise est sélectionné. Type de tunnellisation fractionnée Ce paramètre spécifie si un terminal peut utiliser la tunnellisation fractionnée pour contourner la passerelle VPN (sous réserve de prise en charge par la passerelle VPN). Valeurs possibles : • Désactivée • Manuel • Auto Si le paramètre Type de VPN est défini sur IPsec, ce paramètre doit être défini sur Désactivé. La valeur par défaut est Désactivé. Itinéraires de transfert Ce paramètre spécifie le(s) cheminement(s) contournant la passerelle VPN. Vous pouvez spécifier une ou plusieurs adresses IP. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur SSL et le paramètre Type de tunnellisation fractionnée sur Manuel. DPD Ce paramètre indique si le protocole DPD est activé. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. 381 Paramètres de profil Android : paramètre de profil VPN Description Version IKE Ce paramètre spécifie la version du protocole IKE à utiliser avec la connexion VPN. Valeurs possibles : • IKEv1 • IKEv2 La valeur par défaut est IKEv1. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Type d'authentification IPsec Ce paramètre spécifie le type d'authentification d'une connexion VPN IPsec. Le paramètre Version IKE détermine les types d'authentification IPsec pris en charge et la valeur par défaut de ce paramètre. Valeurs possibles : • Certificat • Clé pré-partagée • Hybride RSA • Authentification CAC Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Type d'ID de groupe IPsec Ce paramètre spécifie le type d'ID de groupe IPsec de la connexion VPN. Le paramètre Type d'authentification IPsec détermine les types d'ID de groupe IPsec pris en charge et la valeur par défaut de ce paramètre. Valeurs possibles : • Par défaut • Adresse IPv4 • Nom de domaine complet • FQDN de l'utilisateur • ID de clé IKE Si le paramètre Type d'authentification IPsec correspond à Certificat, ce paramètre est automatiquement défini sur Par défaut. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. ID de groupe IPsec Ce paramètre spécifie l'ID de groupe IPsec de la connexion VPN. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. 382 Paramètres de profil Android : paramètre de profil VPN Mode d'échange de clé de la phase 1 IKE Description Ce paramètre spécifie le mode d'échange de la connexion VPN. Valeurs possibles : • Mode principal • Mode agressif La valeur par défaut est Mode principal. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Durée de vie IKE Ce paramètre spécifie la durée de vie de la connexion IKE (en secondes). Si vous définissez une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal est utilisée. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Algorithme de cryptage IKE Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Algorithme d'intégrité IKE Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Groupe DH IPsec Ce paramètre spécifie le groupe DH utilisé par un terminal pour générer les clés. Les valeurs possibles sont 0, 1, 2, 5 et comprises entre 14 et 26. La valeur par défaut est 0. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Paramètre IPsec Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Perfect Forward Secrecy (confidentialité totale des transferts) Ce paramètre spécifie si la passerelle VPN prend en charge PFS. Activer MOBIKE Ce paramètre spécifie si la passerelle VPN prend en charge MOBIKE. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Durée de vie IPsec Ce paramètre spécifie la durée de vie de la connexion IPsec (en secondes). Si vous définissez une valeur non prise en charge ou une valeur nulle, la valeur par défaut du terminal est utilisée. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Algorithme de cryptage IPsec Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. 383 Paramètres de profil Android : paramètre de profil VPN Description Algorithme d'intégrité IPsec Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur IPsec. Type d'authentification Ce paramètre spécifie le type d'authentification de la passerelle VPN. Valeurs possibles : • Aucune • Authentification basée sur certificat • Authentification CAC La valeur par défaut est Aucune. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur SSL. Algorithme SSL Ce paramètre spécifie l'algorithme de cryptage requis pour une connexion VPN SSL. Ce paramètre est valide uniquement si le paramètre Type de VPN est défini sur SSL. Ajouter des informations UID/PID Ce paramètre spécifie si les informations UID et PID sont ajoutées aux paquets envoyés au client VPN. Ce paramètre doit être sélectionné pour l'application VPN Cisco AnyConnect. Chainage de prise en charge Ce paramètre spécifie comment le chainage VPN est pris en charge. Valeurs possibles : • Chainage de prise en charge • Tunnel extérieur • Tunnel intérieur La valeur par défaut est Chainage de prise en charge. Paires valeur-clé du fournisseur Ce paramètre spécifie les clés et les valeurs associées du VPN. Les informations de configuration sont spécifiques à l'application VPN du fournisseur. ID du progiciel client VPN Ce paramètre spécifie l'ID de package de l'application VPN. Essayer automatiquement de se reconnecter après une erreur Ce paramètre spécifie si la connexion VPN doit être automatiquement redémarrée après que la connexion ait été perdue. Activer le mode FIPS Ce paramètre spécifie si le protocole FIPS est activé. L'activation du mode FIPS veille à ce que seuls les algorithmes cryptographiques soient utilisés pour la connexion VPN. 384 Paramètres de profil Windows 10 : paramètres de profil VPN Windows : paramètre de profil VPN Description Type de connexion Ce paramètre spécifie le type de connexion utilisé par un terminal Windows 10 pour un VPN. Valeurs possibles : • Microsoft • Junos Pulse • SonicWALL Mobile Connect • F5 • Check Point Mobile • Définition de la connexion manuelle La valeur par défaut est Microsoft. Serveur, Ce paramètre spécifie l'adresse IP publique ou routable ou le nom DNS pour le VPN. Ce paramètre peut pointer vers l'IP externe d'un VPN, ou une adresse IP virtuelle pour un parc de serveurs. Ce paramètre est valide uniquement si le Type de connexion est défini sur Microsoft. Liste d'URL de serveur Ce paramètre spécifie une liste séparée par des virgules des serveurs au format URL, nom d'hôte ou format IP. Ce paramètre est valide uniquement si le paramètre Type de connexion n'est pas défini sur Microsoft. Type de stratégie de routage Ce paramètre spécifie le type de stratégie de routage. Ce paramètre est valide uniquement si le Type de connexion est défini sur Microsoft. Valeurs possibles : • Tunnel fractionné • Appliquer le tunnel La valeur par défaut est Forcer le tunnel. Type de protocole natif Ce paramètre spécifie le type de stratégie de routage utilisé par le VPN. Ce paramètre est valide uniquement si le Type de connexion est défini sur Microsoft. Valeurs possibles : 385 Paramètres de profil Windows : paramètre de profil VPN Description • L2TP • PPTP • IKEv2 • Automatique La valeur par défaut est Automatique. Authentification Ce paramètre indique la méthode d'authentification utilisée pour le VPN natif. Le paramètre Type de protocole natif détermine les méthodes d'authentification prises en charge et la valeur par défaut de ce paramètre. • Si vous sélectionnez L2TP ou PPTP, les valeurs possibles sont MS-CHAPv2 et EAP. La valeur par défaut est MS-CHAPv2. • Si vous sélectionnez IKEv2, les valeurs possibles sont Méthode utilisateur et Méthode machine. La valeur par défaut est Mode Utilisateur. • Si vous sélectionnez Automatique, la seule valeur possible est EAP. Valeurs possibles : Configuration EAP • EAP • MS-CHAPv2 • Méthode utilisateur • Méthode machine Ce paramètre spécifie le code XML de la configuration EAP. Pour plus d'informations sur la génération du code XML de la configuration EAP, visitez https://msdn.microsoft.com/en-us/library/windows/hardware/mt168513(v=vs.85).aspx . Ce paramètre est valide uniquement si le paramètre Authentification est défini sur EAP. Méthode utilisateur Ce paramètre indique le type d'authentification de méthode utilisateur à utiliser. Ce paramètre est valide uniquement si le paramètre Authentification est défini sur Méthode utilisateur. Valeurs possibles : • Méthode machine EAP Ce paramètre indique le type d'authentification de méthode machine à utiliser. 386 Paramètres de profil Windows : paramètre de profil VPN Description Ce paramètre est valide uniquement si le paramètre Authentification est défini sur Méthode machine. Valeur possible : • Configuration personnalisée Certificat Ce paramètre indique le blob XML en code HTML pour une configuration de plug-in SSL-VPN spécifique, avec les informations d'authentification envoyées au terminal pour la prise en charge des plug-ins SSL-VPN. Ce paramètre est valide uniquement si le paramètre Type de connexion n'est pas défini sur Microsoft. Nom de la famille de package de plug-ins Ce paramètre spécifie le nom de famille de package du VPN SSL personnalisé. Liste d'applications de déclenchement Ce paramètre spécifie une liste d'applications qui démarrent la connexion VPN. Liste d'applications de déclenchement > ID d'application Ce paramètre identifie une application pour un VPN par application. Ce paramètre est valide uniquement si le Type de connexion est défini sur Définition de la connexion manuelle. Valeurs possibles : • Nom de la famille de package. Pour trouver le nom de famille de package, installez l'application et exécutez la commande Windows PowerShell, Get-AppxPackage. Pour plus d'informations, visitez http://technet.microsoft.com/en-us/library/ hh856044.aspx . • Emplacement d'installation de l'application. Par exemple, C:\Windows\System \notepad.exe . Liste des itinéraires Ce paramètre spécifie une liste des itinéraires que le VPN peut emprunter. Si le VPN utilise la tunnellisation fractionnée, une liste des itinéraires est requise. Adresse du sous-réseau Ce paramètre spécifie l'adresse IP du préfixe de destination au format d'adresse IPv4 ou IPv6. Préfixe de sous-réseau Ce paramètre spécifie le préfixe de sous-réseau du préfixe de destination. Liste des noms de domaines Ce paramètre spécifie les règles NRPT pour le VPN. Nom de domaine Ce paramètre spécifie le nom complet ou le suffixe du domaine. 387 Paramètres de profil Windows : paramètre de profil VPN Description Serveurs DNS Ce paramètre spécifie la liste des adresses IP des serveurs DNS en les séparant par des virgules. Serveurs Web proxy Ce paramètre spécifie l'adresse IP du serveur Web proxy. Liste des filtres de trafic Ce paramètre spécifie les règles autorisant le trafic via le VPN. Liste des filtres de trafic > ID d'application Ce paramètre identifie une application pour un filtre de trafic basé sur l'application. Protocole Valeurs possibles : • Nom de la famille de package. Pour trouver le nom de famille de package, installez l'application et exécutez la commande Windows PowerShell, Get-AppxPackage. Pour plus d'informations, visitez http://technet.microsoft.com/en-us/library/ hh856044.aspx . • Emplacement d'installation de l'application. Par exemple, C:\Windows\System \notepad.exe . • Tapez « SYSTEM » pour que les pilotes du noyau puissent envoyer le trafic par le biais du VPN (par exemple, PING ou SMB). Ce paramètre spécifie le protocole utilisé par le VPN. Valeurs possibles : • Toutes • TCP • UDP La valeur par défaut est Tout. Plages de ports locaux Ce paramètre spécifie la liste des plages de ports locaux autorisées en les séparant par des virgules. Par exemple, 100-120, 200, 300-320. Plages de ports distants Ce paramètre spécifie la liste des plages de ports distants autorisées en les séparant par des virgules. Par exemple, 100-120, 200, 300-320. Plages d'adresses locales Ce paramètre spécifie la liste des plages d'adresses IP locales autorisées en les séparant par des virgules. Plages d'adresses distantes Ce paramètre spécifie la liste des plages d'adresses IP distantes autorisées en les séparant par des virgules. 388 Paramètres de profil Windows : paramètre de profil VPN Type de stratégie de routage Description Ce paramètre spécifie la stratégie de routage utilisée par le filtre de trafic. Si vous le définissez sur Forcer le tunnel, tout le trafic passe par le VPN. Si vous le définissez sur Tunnel partagé, le trafic peut passer par le VPN ou Internet. Valeurs possibles : • Tunnel fractionné • Appliquer le tunnel Le paramètre par défaut est Forcer le tunnel. Mémoriser les informations d'identification Ce paramètre spécifie si les identifiants doivent être mis en cache lorsque cela est possible. Toujours activer Ce paramètre spécifie si la connexion au VPN doit s'activer automatiquement lors de l'authentification et la garder active jusqu'à ce que l'utilisateur déconnecte manuellement le VPN. Suffixe DNS Ce paramètre spécifie un ou plusieurs suffixes DNS séparés par des virgules. Le premier suffixe DNS de la liste est également utilisé en tant que connexion principale pour le VPN. La liste est ajoutée à SuffixSearchList. Détection de réseau sécurisé Ce paramètre spécifie une chaine séparée par des virgules pour identifier le réseau sécurisé. Le VPN ne se connecte pas automatiquement lorsque les utilisateurs sont sur le réseau sans fil de leur entreprise. Type de proxy Ce paramètre spécifie le type de configuration proxy pour le VPN. Valeurs possibles : • Aucune • Configuration PAC • Configuration manuelle La valeur par défaut est Aucune. URL du fichier PAC Ce paramètre spécifie l'URL du serveur Web qui héberge le fichier PAC, y compris le nom du fichier PAC. Par exemple, http://www.example.com/PACfile.pac. Ce paramètre est valide uniquement si le paramètre Type de proxy est défini sur Configuration PAC. Adresse Ce paramètre spécifie le FQDN ou l'adresse IP du serveur proxy. 389 Paramètres de profil Windows : paramètre de profil VPN Description Ce paramètre est valide uniquement si le paramètre Type de proxy est défini sur Configuration manuelle. Profil SCEP associé Ce paramètre spécifie le profil SCEP associé utilisé par un terminal pour obtenir un certificat client et s'authentifier auprès du VPN. 390 Paramètres de profil Enterprise Data Protection Paramètres de profil Enterprise Data Protection 15 Les profils Enterprise Data Protection sont pris en charge sur les types de terminaux suivants : • Windows 10 Windows 10 : paramètres de profil de protection des données d'entreprise Windows 10 : paramètre de profil de protection des données d'entreprise Paramètres de protection des données d'entreprise Description Ce paramètre spécifie si la protection des données d'entreprise est activée et son degré d'application. Lorsque ce paramètre est défini sur « Désactivé », les données ne sont pas cryptées et la journalisation des audits est désactivée. Lorsque ce paramètre est défini sur « Silencieux », les données sont cryptées et toute tentative de partage de données protégées est consignée. Lorsque ce paramètre est défini sur « Remplacer », les données sont cryptées, l'utilisateur reçoit une invite lorsqu'il tente de partager des données protégées, et toute tentative de partage de données protégées est consignée. Lorsque ce paramètre est défini sur « Bloquer », les données sont cryptées, les utilisateurs ne peuvent pas partager des données protégées, et toute tentative de partage de données protégées est consignée. Valeurs possibles : • O • Silencieux • Remplacer • Bloquer La valeur par défaut est « Off ». Noms de domaines du réseau professionnel Ce paramètre spécifie les noms de domaine du réseau professionnel qui sont associés à votre organisation. Vous pouvez séparer plusieurs domaines avec des barres verticales (« | »). Le premier domaine est utilisé comme une chaine pour marquer les fichiers protégés par des applications qui utilisent EDP. 391 Paramètres de profil Enterprise Data Protection Windows 10 : paramètre de profil de protection des données d'entreprise Description Par exemple : exemple.com| exemple.net. Autoriser le décryptage par l'utilisateur Ce paramètre spécifie si un utilisateur est autorisé à décrypter des fichiers protégés par EDP. Appliquer la protection sous la configuration de verrouillage Ce paramètre spécifie si les données sont protégées lorsque le terminal est verrouillé. Par exemple, ce paramètre empêche le texte des e-mails professionnels de s'afficher sur l'écran de verrouillage. Fichier de certificat de récupération de données (.der, .cer) Ce paramètre spécifie le fichier de certificat de récupération de données. Le fichier que vous spécifiez doit être un certificat codé PEM ou DER, avec une extension de fichier.der ou .cer. Le fichier de certificat de récupération de données permet aux administrateurs de récupérer des fichiers qui ont été protégés localement sur un terminal. Par exemple, si votre organisation souhaite récupérer des données protégées par EDP depuis un terminal. Révoquer les paramètres EDP lorsqu'un terminal est désinscrit de BES Ce paramètre spécifie si les paramètres EDP doivent être révoqués lorsqu'un terminal est désactivé. Lors les paramètres EDP sont révoqués, l'utilisateur ne peut plus accéder aux fichiers protégés. Afficher les superpositions EDP sur les fichiers et applications protégés et uniquement autorisés à créer du contenu d'entreprise Ce paramètre spécifie si une icône de superposition est affichée sur les icônes de fichier et d'application pour indiquer si un fichier ou une application est protégé(e) par EDP. Portée IP du réseau professionnel Ce paramètre spécifie la plage d'adresses IP au travail avec laquelle une application protégée par EDP peut partager des données. Utilisez un tiret pour indiquer une plage d'adresses. Utilisez une virgule pour séparer les adresses. Code de charge utile d'application de bureau Spécifiez les clés et valeurs des applications de bureau qui sont utilisées pour configurer les restrictions de lancement d'application sur les terminaux Windows 10. Vous devez utiliser les clés définies par Microsoft pour le type charge utile que vous souhaitez configurer. Code de charge utile de l'application de la plateforme Windows universelle Spécifiez les clés et les valeurs d'application de la plateforme Windows universelle qui sont utilisées pour configurer la protection des données d'entreprise sur les terminaux Windows 10. Vous devez utiliser les clés définies par Microsoft pour le type de charge utile que vous souhaitez configurer. 392 Feuille de référence des stratégies Feuille de référence des stratégies Pour plus d'informations sur les stratégies informatiques, téléchargez la Feuille de référence des stratégies sur help.blackberry.com/detectLang/bes12-cloud/current/policy-reference-spreadsheet-zip/. 393 16 Glossaire Glossaire 17 AES Advanced Encryption Standard (méthode de cryptage avancé) AET Jeton d'inscription d'application APNs Apple Push Notification service (Service Apple Push Notification) BES12 BlackBerry Enterprise Service 12 CA certification authority (autorité de certification) certificat Un certificat est un document numérique qui lie l'identité et la clé publique d'un sujet de certificat. À chaque certificat correspond une clé privée stockée séparément. Une autorité de certification signe le certificat pour attester de son authenticité et de sa fiabilité. CRL Certificate Revocation List (liste de révocation des certificats) DEP Programme d'inscription des appareils DNS Domain Name System (système DNS) DPD Dead Peer Detection EAP Extensible Authentication Protocol (protocole d'authentification extensible) EAP-FAST Extensible Authentication Protocol Flexible Authentication via Secure Tunneling (protocole d'authentification extensible - Authentification flexible par tunnel sécurisé) EAP-MS-CHAP Extensible Authentication Protocol Microsoft® Challenge Handshake Authentication Protocol (protocole d'authentification extensible - protocole d'authentification par challenge Microsoft®) EAP-TLS Extensible Authentication Protocol Transport Layer Security (protocole d'authentification extensible sécurité de la couche de transport) EDP Enterprise Data Protection (protection des données d'entreprise) EMM Enterprise Mobility Management (Gestion de la mobilité d'entreprise) FQDN Fully Qualified Domain Name (nom de domaine complet) GTC Generic Token Card HMAC Code d'authentification du message fragmenté HTTP Hypertext Transfer Protocol (protocole de transfert hypertexte) HTTPS Hypertext Transfer Protocol over Secure Sockets Layer (protocole de transfert hypertexte via SSL) ICCID Integrated Circuit Card Identifier (identifiant de carte de circuit intégré) IKE Internet Key Exchange (protocole IKE) IMAP Internet Message Access Protocol (protocole de messagerie IMAP) 394 Glossaire IMEI International Mobile Equipment Identity (identification internationale d'équipement mobile) IP Internet Protocol (protocole Internet) IPsec Internet Protocol Security (sécurité du protocole Internet) Stratégie informatique Une stratégie informatique est composée de diverses règles qui contrôlent les fonctions de sécurité et le comportement des terminaux. LAN Local Area Network (réseau local) LDAP Lightweight Directory Access Protocol (protocole LDAP) MD5 Message-Digest Algorithm, version 5 MDM Mobile device management (gestion des terminaux mobiles) MS-CHAP Microsoft Challenge Handshake Authentication Protocol (protocole d'authentification par challenge de Microsoft) NAT Network Address Translation (traduction d'adresses de réseau) NTLM NT LAN Manager OCSP Online Certificate Status Protocol (protocole d'état de certificat en ligne) PAC Proxy Auto-Configuration (configuration automatique de proxy) PFS Perfect Forward Secrecy (confidentialité totale des transferts) PKI Public Key Infrastructure (infrastructure de clé publique) PMK Pairwise Master Key (clé maîtresse du cryptage par paires) POP Post Office Protocol (protocole de réception des e-mails) PRF Famille de fonctions pseudo-aléatoires PSK Pre-Shared Key (clé prépartagée) SCEP Simple Certificate Enrollment Protocol (service d'inscription de périphériques réseau) SHA Secure Hash Algorithm (algorithme SHA) SIM Subscriber Identity Module (module d'identification de l'abonné) S/MIME Secure Multipurpose Internet Mail Extensions (extensions du courrier électronique à but multiples et sécurisées) Espace Un espace est une zone distincte du terminal qui permet de compartimenter et de gérer différents types de données, d'applications et de connexions réseau. Différents espaces peuvent avoir différentes règles pour le stockage de données, les autorisations d'application et le routage réseau. Les espaces étaient auparavant appelés périmètres. SSL Secure Sockets Layer (protocole SSL) 395 Glossaire Terminaux iOS supervisés Les terminaux supervisés sont configurés pour permettre un plus grand contrôle des fonctionnalités des terminaux iOS. Pour activer la supervision des terminaux iOS appartenant à votre organisation, vous pouvez utiliser Apple Configurator ou Apple Device Enrollment Program. TCP Transmission Control Protocol (protocole de contrôle de transmissions) TGT TGT (Ticket-Granting Ticket) est un ticket de service que le client d'un service Kerberos envoie au TGS pour demander le ticket de service du service Kerberos. TLS Transport Layer Security (sécurité de la couche de transport) USB Universal Serial Bus (bus série universel) VPN Virtual Private Network (réseau privé virtuel) xAuth Authentification étendue 396 Informations juridiques Informations juridiques 18 ©2016 BlackBerry Limited. Les marques commerciales, y compris mais sans s'y limiter, BLACKBERRY, BES, la conception stylistique de son EMBLÈME, ATHOC, la conception stylistique de son EMBLÈME, ATHOC et sa conception stylistique ainsi que celle de PURPLE GLOBE, GOOD, GOOD WORK, la conception stylistique LOCK, MANYME, MOVIRTU, SECUSMART, SECUSMART et les conceptions stylistiques associées, SECUSUITE, SECUVOICE, VIRTUAL SIM PLATFORM, WATCHDOX et WORKLIFE sont des marques commerciales ou des marques déposées de BlackBerry Limited, ses filiales et/ou sociétés affiliées, utilisées sous licence, dont les droits exclusifs sont expressément réservés. Toutes les autres marques commerciales appartiennent à leurs propriétaires respectifs. GOOD et son emblème sont des marques commerciales ou des marques déposées de BlackBerry Limited, ses filiales et/ou sociétés affiliées, utilisées sous licence, et l'exclusivité des droits de ces marques est expressément réservée. Android, Google Chrome et Google Playsont des marques commerciales de Google Inc. Apple, App Store, Apple Configurator, iCloud, OS X et Safarisont des marques commerciales d'Apple Inc.Aruba et VIAsont des marques commerciales d'Aruba Networks, Inc.Bell est une marque de Bell Canada.Bluetoothest une marque commerciale de Bluetooth SIG.Check Point et VPN-1sont des marques commerciales de Check Point Software Technologies Ltd.Cisco, Cisco AnyConnect, Cisco IOS et PIXsont des marques commerciales de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.F5is a trademark of F5 Networks, Inc.HTC EVOest une marque commerciale de HTC Corporation.IBM, Domino, IBM Verse et Notessont des marques commerciales d'International Business Machines Corporation, enregistrées dans de nombreux pays dans le monde.iOSest une marque commerciale de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays. iOS® est utilisé sous licence Apple Inc.Juniperest une marque commerciale de Juniper Networks, Inc.Kerberosest une marque commerciale du Massachusetts Institute of Technology.Microsoft, Active Directory, ActiveSync, Windows et Windows Phonesont des marques commerciales ou des marques déposées de Microsoft Corporation aux États-Unis et/ou dans d’autres pays.OpenVPNest une marque commerciale d'OpenVPN Technologies, Inc.PGPest une marque commerciale de PGP Corporation.Pulse Secureest une marque commerciale de Pulse Secure LLC.RSAest une marque commerciale de RSA Security.SonicWALL et Mobile Connectsont des marques commerciales de Dell, Inc.Symantecest une marque ou une marque déposée de Symantec Corporation ou de ses filiales aux États-Unis et dans d'autres pays.T-Mobileest une marque commerciale de Deutsche Telekom AG. Wi-Fi, WPA et WPA2sont des marques commerciales de Wi-Fi Alliance.Entrust, Entrust IdentityGuard et Entrust Authority Administration ServicesMarques commerciales d'Entrust, Inc.KNOX et Samsung KNOXsont des marques commerciales de Samsung Electronics Co., Ltd.Toutes les autres marques commerciales appartiennent à leurs propriétaires respectifs. Cette documentation, y compris la documentation incluse pour référence telle que celle fournie ou mise à disposition sur le site Web BlackBerry, est fournie ou mise à disposition « EN L'ÉTAT » et « TELLE QUELLE », sans condition ni garantie en tout genre de la part de BlackBerry Limited et de ses sociétés affiliées (« BlackBerry »), et BlackBerry décline toute responsabilité en cas d’erreur ou d'oubli typographique, technique ou autre inexactitude contenue dans ce document. Pour des raisons de protection des secrets commerciaux et/ou des informations confidentielles et propriétaires de BlackBerry, cette documentation peut décrire certains aspects de la technologie BlackBerry en termes généraux. BlackBerry se réserve le droit de modifier périodiquement les informations contenues dans cette documentation. Cependant, BlackBerry ne s'engage en aucune manière à vous communiquer en temps opportun les modifications, mises à jour, améliorations ou autres ajouts apportés à cette documentation. 397 Informations juridiques La présente documentation peut contenir des références à des sources d'informations, du matériel ou des logiciels, des produits ou des services tiers, y compris des composants et du contenu tel que du contenu protégé par copyright et/ou des sites Web tiers (ci-après dénommés collectivement « Produits et Services tiers »). BlackBerry ne contrôle pas et décline toute responsabilité concernant les Produits et Services tiers, y compris, sans s'y limiter, le contenu, la précision, le respect du code de la propriété intellectuelle, la compatibilité, les performances, la fiabilité, la légalité, l'éthique, les liens ou tout autre aspect desdits Produits et Services tiers. La présence d'une référence aux Produits et Services tiers dans cette documentation ne suppose aucunement que BlackBerry se porte garant des Produits et Services tiers ou de la tierce partie concernée. SAUF DANS LA MESURE SPÉCIFIQUEMENT INTERDITE PAR LES LOIS EN VIGUEUR DANS VOTRE JURIDICTION, TOUTES LES CONDITIONS OU GARANTIES DE TOUTE NATURE, EXPRESSES OU TACITES, NOTAMMENT (SANS LIMITATIONS) LES CONDITIONS OU GARANTIES DE DURABILITÉ, D'ADÉQUATION À UNE UTILISATION OU À UN BUT PARTICULIER, DE COMMERCIALISATION, DE QUALITÉ MARCHANDE, DE NON-INFRACTION, DE SATISFACTION DE LA QUALITÉ OU DE TITRE, OU RÉSULTANT D'UNE LOI, D'UNE COUTUME, D'UNE PRATIQUE OU D'UN USAGE COMMERCIAL, OU EN RELATION AVEC LA DOCUMENTATION OU SON UTILISATION, OU L'UTILISATION OU NON-UTILISATION D'UN LOGICIEL, MATÉRIEL, SERVICE OU DES PRODUITS ET SERVICES TIERS CITÉS, SONT EXCLUES. VOUS POUVEZ JOUIR D'AUTRES DROITS QUI VARIENT SELON L'ÉTAT OU LA PROVINCE. CERTAINES JURIDICTIONS N'AUTORISENT PAS L'EXCLUSION OU LA LIMITATION DES GARANTIES ET CONDITIONS IMPLICITES. DANS LA MESURE AUTORISÉE PAR LES LOIS, TOUTE GARANTIE OU CONDITION IMPLICITE RELATIVE À LA DOCUMENTATION, DANS LA MESURE OÙ ELLES NE PEUVENT PAS ÊTRE EXCLUES EN VERTU DES CLAUSES PRÉCÉDENTES, MAIS PEUVENT ÊTRE LIMITÉES, SONT PAR LES PRÉSENTES LIMITÉES À QUATRE-VINGT-DIX (90) JOURS À COMPTER DE LA DATE DE LA PREMIÈRE ACQUISITION DE LA DOCUMENTATION OU DE L'ARTICLE QUI FAIT L'OBJET D'UNE RÉCLAMATION. DANS LA MESURE MAXIMALE PERMISE PAR LES LOIS EN VIGUEUR DANS VOTRE JURIDICTION, EN AUCUN CAS BLACKBERRY N’EST RESPONSABLE DES DOMMAGES LIÉS À LA PRÉSENTE DOCUMENTATION OU À SON UTILISATION, OU À L’UTILISATION OU NON UTILISATION DES LOGICIELS, DU MATÉRIEL, DES SERVICES OU DES PRODUITS ET SERVICES TIERS MENTIONNÉS DANS LES PRÉSENTES, ET NOTAMMENT DES DOMMAGES SUIVANTS : DIRECTS, EXEMPLAIRES, ACCIDENTELS, INDIRECTS, SPÉCIAUX, PUNITIFS OU AGGRAVÉS, DES DOMMAGES LIÉS À UNE PERTE DE PROFITS OU DE REVENUS, UN MANQUE À GAGNER, UNE INTERRUPTION D’ACTIVITÉ, UNE PERTE D’INFORMATIONS COMMERCIALES, UNE PERTE D’OPPORTUNITÉS COMMERCIALES, LA CORRUPTION OU LA PERTE DE DONNÉES, LE NON ENVOI OU LA NON RÉCEPTION DE DONNÉES, DES PROBLÈMES LIÉS À DES APPLICATIONS UTILISÉES AVEC DES PRODUITS OU SERVICES BLACKBERRY, DES COÛTS D’INDISPONIBILITÉ, LA PERTE D’UTILISATION DES PRODUITS OU SERVICES RIM EN TOUT OU EN PARTIE, OU DE TOUT SERVICE DE COMMUNICATION, DU COÛT DE BIENS DE SUBSTITUTION, DES FRAIS DE GARANTIE, DES ÉQUIPEMENTS OU SERVICES, DES COÛTS DE CAPITAL, OU AUTRES PERTES FINANCIÈRES SIMILAIRES, PRÉVISIBLES OU NON, MÊME SI BLACKBERRY A ÉTÉ INFORMÉ DE LA POSSIBILITÉ DE TELS DOMMAGES. DANS LA MESURE MAXIMALE PERMISE PAR LES LOIS APPLICABLES DANS VOTRE JURIDICTION, BLACKBERRY N'EST NULLEMENT TENU PAR DES OBLIGATIONS, DEVOIRS OU RESPONSABILITÉS, CONTRACTUELS, DÉLICTUELS OU AUTRE, PAS MÊME PAR UNE RESPONSABILITÉ EN CAS DE NÉGLIGENCE OU RESPONSABILITÉ STRICTE ET NE VOUS EST REDEVABLE EN RIEN. LES LIMITATIONS, EXCLUSIONS ET CLAUSES DE NON-RESPONSABILITÉ CONTENUES DANS LES PRÉSENTES S'APPLIQUENT : (A) INDÉPENDAMMENT DE LA NATURE DE LA CAUSE D’ACTION, DEMANDE OU ACTION ENTREPRISE PAR VOUS, NOTAMMENT POUR RUPTURE DE CONTRAT, NÉGLIGENCE, FAUTE, RESPONSABILITÉ STRICTE OU TOUT AUTRE THÉORIE LÉGALE, ET RESTENT APPLICABLES EN CAS DE RUPTURES SUBSTANTIELLES OU DE MANQUEMENT AU BUT ESSENTIEL DU PRÉSENT CONTRAT OU DE TOUT RECOURS ENVISAGEABLE PAR LES PRÉSENTES ; ET (B) À BLACKBERRY ET À SES FILIALES, LEURS AYANT-DROIT, REPRÉSENTANTS, AGENTS, FOURNISSEURS (NOTAMMENT LES FOURNISSEURS DE 398 Informations juridiques SERVICES), REVENDEURS AGRÉÉS BLACKBERRY (NOTAMMENT LES FOURNISSEURS DE SERVICES) ET LEURS DIRECTEURS, EMPLOYÉS ET SOUS-TRAITANTS RESPECTIFS. OUTRE LES LIMITATIONS ET EXCLUSIONS SUSMENTIONNÉES, EN AUCUN CAS, LES DIRECTEURS, EMPLOYÉS, AGENTS, DISTRIBUTEURS, FOURNISSEURS, SOUS-TRAITANTS INDÉPENDANTS DE BLACKBERRY OU DE SES FILIALES N'ONT UNE RESPONSABILITÉ CONSÉCUTIVE OU RELATIVE À LA PRÉSENTE DOCUMENTATION. Avant de vous abonner, d'installer ou d'utiliser des Produits et Services tiers, il est de votre responsabilité de vérifier que votre fournisseur de services sans fil prend en charge toutes les fonctionnalités. Certains fournisseurs de services sans fil peuvent ne pas proposer de fonctionnalités de navigation Internet avec un abonnement à BlackBerry® Internet Service. Vérifiez la disponibilité, l'itinérance, les services et les fonctionnalités auprès de votre fournisseur de services. L'installation ou l'utilisation de Produits et Services tiers avec des produits et services BlackBerry peut nécessiter un ou plusieurs brevets, marques commerciales, licences de copyright ou autres licences à des fins de protection des droits d'autrui. Vous êtes seul responsable de votre décision d'utiliser ou non les Produits et Services tiers et si cela nécessite l'obtention de licences tierces. Si de telles licences sont requises, vous êtes seul responsable de leur acquisition. Vous ne devez pas installer ou utiliser de Produits et Services tiers avant d'avoir acquis la totalité des licences nécessaires. Les Produits et Services tiers fournis avec les produits et services BlackBerry vous sont fournis à toutes fins utiles « EN L'ÉTAT » sans conditions ni garanties expresses ou tacites d'aucune sorte par BlackBerry, et BlackBerry n'engage aucune responsabilité sur les Produits et Services tiers. L'utilisation que vous faites des Produits et Services tiers est régie par et dépendante de votre acceptation des termes des licences et autres accords distincts applicables à cet égard avec d'autres parties, sauf dans la limite couverte expressément par une licence ou autre accord conclu avec BlackBerry. Les conditions d'utilisation de tout produit ou service BlackBerry sont stipulées dans une licence ou autre accord distinct conclu avec BlackBerry à cet égard. LE CONTENU DE CETTE DOCUMENTATION N'EST PAS DESTINÉ À REMPLACER LES ACCORDS OU GARANTIES EXPRÈS ET ÉCRITS FOURNIS PAR BLACKBERRY POUR UNE PARTIE DES PRODUITS OU SERVICES BLACKBERRY AUTRES QUE CETTE DOCUMENTATION. BlackBerry Enterprise Software incorpore des éléments logiciels tiers. La licence et les informations de copyright associées à ces logiciels sont disponibles à l'adresse http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp. BlackBerry Limited 2200 University Avenue East Waterloo, Ontario Canada N2K 0A7 BlackBerry UK Limited 200 Bath Road Slough, Berkshire SL1 3XE Royaume-Uni Publié au Canada 399